Passkeys : Apple prépare doucement la disparition des mots de passe

Stéphane Moussie |

Apple a implémenté dans macOS 12.3 et iOS 15.4 une nouveauté pour l'instant invisible mais qui devrait changer le futur de la sécurité informatique. Dans ces systèmes actuellement en bêta figure Passkeys, un système d'authentification pour les apps et les sites web qui ne demande aucun mot de passe.

Un site web pour essayer Passkeys

Présenté à la WWDC 2021, Passkeys repose sur des clés cryptographiques (les passkeys) enregistrées dans le trousseau iCloud. Dans le détail, l'appareil Apple génère une paire de clés (une publique et une privée) à chaque création de compte. Au moment de se connecter sur le site ou l'app, l'appareil partage la clé publique après authentification de l'utilisateur grâce à Touch ID ou Face ID.

Passkeys et WebAuthn : Apple imagine un futur sans mots de passe

Passkeys et WebAuthn : Apple imagine un futur sans mots de passe

Ce ne sont que les prémices d'un futur sans mot de passe, il faut que la technologie soit finalisée et surtout adoptée par les éditeurs pour devenir concrète, ce qui ne se fera pas d'un claquement de doigts.

En attendant, puisqu'il faut toujours faire avec les mots de passe, iOS 15.4 améliore le sélecteur de compte qui apparait quand on a des mots de passe stockés dans différentes apps (et que l'on a autorisé ces apps à faire du remplissage automatique).

avatar mne | 

Je le demande comment cela fonctionnera quand on passera d’un mac à un Windows ou un android du coup

avatar radeon | 

@mne

Quelle drôle d’idée :p

avatar mne | 

@radeon

XD
En fait je me suis déjà retrouvé dans le cas de devoir accéder à un service (mail, banque etc.) à l'étranger ou hors de chez moi, et j'avais du recopier le mot de passe depuis mon gestionnaire sur mobile. Pas pratique mais c'était la seule solution pour garder avec soi un mdp de 32 caractères aléatoires. Déjà que c'est risqué de se reposer sur la batterie de son smartphone dans cette situation, comment faire quand il n'y a plus de mdp et que l'identification se repose sur la reconnaissance d'un appareil quel qu'il soit ?

avatar marc_os | 

> la seule solution pour garder avec soi un mdp de 32 caractères aléatoires

Une autre solution est de ne pas utiliser les caractères aléatoires proposés par le système mais d'utiliser un mdp personnel. Pour ma part, j'utilise toujours le même "format" perso associé à un moyen mnémotechnique pour mes mots de passe. Plus une copie physique au cas où.

avatar mne | 

@marc_os

c'est vrai
Mais du coup cette solution n'est pas compatible avec passkeys d'apple :)

avatar thierry37 | 

@marc_os

Comment faire un moyen mnémotechnique pour garder 50 mots de passe différents ?

(Sans faire "la phrase pass Google" "la phrase pass Apple" "la phrase pass FB" etc...)

avatar Charlesl15 | 

@thierry37

Par exemple se que je fais : une suite de 10 caractères genre GRui85Oh-/
Après par exemple Facebook tu rajoutes les 3 premières lettres : Fac
Et après tu peux rajouter des chiffres derrières, style le nombre de chiffres, par exemple encore Facebook : 08
Le mot de passe donne : GRui85Oh-/Fac08

Pas faire trop long car certains sites ne dépassent pas 16 caractères pour un mot de passe donc si tu veux pas avoir de combinaisons différentes pour certains sites (qu’on oublie avec le temps), faut pas dépasser les 16 caractères 😉.

Voilà voilà rien de dur. Après c’est lisible si le gars est pas con que Facebook c’est Fac08 et peut trouver d’autres mdp d’autres site (si il a la bonne adresse) donc le F de Facebook tu me mets au milieu de GRui85Oh-/ style ici GRuiF85Oh-/ et ça donne : GRuiF85Oh-/ac08

Après tu peux aussi compter pour trouver le numéro sur le clavier par exemple encore Facebook : le F est en 14, le a en 01 et le c en 23.

Faire attention à certains caractères spéciaux aussi qui ne sont pas pris en compte par certains sites 😉

Dernière astuce pour le Fac08 tu prends bien le nom de domaine car certains sites n’ont pas le même nom de domaine que le nom de l’entreprise au moins ça change jamais donc tu sais que c’est ça.

J’ai un exemple (je suis buraliste) le site Socopi en faite le nom de domaine c’est Protabac au moins tu te mélange pas à savoir si t’as mis l’un ou l’autre.

Et si tu oublies malheureusement un jour un mdp, tu réinitialises avec ton adresse mail (ou autre) et t’auras jamais de problèmes 😉. Si jamais tu fais par SMS (se que je conseille pas du tout) n’oublies pas de changer ton numéro dans touuuuuut les sites se qui te prendras bien du temps. Et si tu perds ton téléphone bah t’es mal barré…

Voilà je peux pas faire plus complet 😂

avatar pulsarium | 

@Charlesl15

C’est la pire des façons de jouer avec la sécurité, ça n’est absolument pas une protection fiable, l’algorithme sera toujours simple à trouver …

Rien ne vaut un gestionnaire de mot de passe qui génère aléatoirement des mots de passe de 30 caractères. Vaut mieux utiliser KeePass (gratuit et open source), un seul fichier en local qui contient tous les mots de passe et chiffré via une passphrase

avatar YetOneOtherGit | 

@pulsarium

"C’est la pire des façons de jouer avec la sécurité, ça n’est absolument pas une protection fiable, l’algorithme sera toujours simple à trouver …"

C’est étrangement à la mode ce type de martingale, alors que c’est très loin d’être une bonne pratique.

avatar Charlesl15 | 

@YetOneOtherGit

J’ai répondu à pulsarium si tu veux aller voir et proposer une solution je suis preneur 😂

avatar YetOneOtherGit | 

@Charlesl15

"J’ai répondu à pulsarium "

Je sais et je j’abondai dans ton sens 😎

avatar Charlesl15 | 

@pulsarium

Et tu penses qu’un fichier stocké est plus sécurisant? 😂. Désolé mais je pense pas. Après vaut mieux toujours se que je fais que de mettre un truc bidon comme se que font 90% des gens. Après le seul moyen d’être « vraiment » safe c’est d’avoir une double authentification avec une clé physique que tu connectes à ton téléphone ou pc et authentifier la connexion avec le lecteur d’empreinte mais bon si tu la perds je sais pas comment ça se passe. Et puis bon les gestionnaires de mdp c’est bien beau mais ça doit être piratable et j’ai pas vraiment confiance. J’ai jamais utilisé trousseau d’Apple et ça changera pas. Et en vrai, les mdp personne s’amuse a les trouver, c’est souvent des hacks qui volent les identifiants et mdp directement sur les serveurs du site. Enfin bon j’ai toujours utilisé le même mdp partout jusqu’à y a 3 ans, et maintenant je fais comme j’ai décris et j’ai jamais eu de problèmes.

Du coup j’attend une solution autre qu’un gestionnaire qui pour moi n’est pas safe. Car celui qui y accède bah il a accès à TOUT tes mdp enfin je vois pas en quoi c’est safe.. Le plus important c’est de pas se faire voler les mdp des boites mails. Si on en oublie un ou on se fait pirater un site on réinitialise et basta.

Et puis en vrai on se casse la tête avec tout ça mais si le site se fait hacker, mdp ou non ils peuvent accéder plus ou moins à tout donc bon.. Y a jamais réellement de solutions 😅

avatar cecile_aelita | 

@Charlesl15

Tu m’as fait penser à lui 🤣🤣!!

« Mireille est plutôt joufflue » 🤣

https://m.youtube.com/watch?v=GsBFJObh3ko

avatar Charlesl15 | 

@cecile_aelita

Mdrrr j’avais jamais vu ça merci pour ces 3 min de sketch 😂

avatar cecile_aelita | 

@Charlesl15

De rien ❤️

avatar Baptiste_nv18 | 

@radeon

❤️❤️

avatar tirrr92 | 

@radeon

😂👍🏻

avatar debione | 

@ mne:

Me suis aussi posé la question de savoir si ce n'est pas simplement un enfermement de plus dans les éco-systèmes... Que ce soit toujours plus contraignant, sous couvert de.... sécurité (tient tient)

avatar Gagolak | 

@debione

C’est certain qu’il faudrait que ça soit universel et adopté par tous. Je stocke les Login+mdp de mes jeux pc dans le trousseau et je dois les a chaque fois aller fouiller pour les voir. Ça serait vraiment cool qu’une demande d’authentification arrive direct sur mon iPhone.

avatar 0MiguelAnge0 | 

@debione

Personne ne sera obligé d’aller dans cette direction, comme avec le connection via Apple.

avatar lll | 

Finalement, l'aspect pratique est quand même souvent l'ennemi de la sécurité et je préfère un système contraignant mais décentralisé que des solutions intégrées. Finalement, recopier son mot de passe depuis un bloc-notes papier semble paradoxalement plus sécurisé aujourd'hui.

avatar marc_os | 

@ debione

> Me suis aussi posé la question de savoir si ce n'est pas simplement un enfermement de plus dans les éco-systèmes.

Il ne s'agit pas d'un "enfermement", mais d'un possibilité nouvelle. Qui de plus pourrait-être généralisée. En gros, avec les systèmes qui le supporte(ro)nt, c'est plus simple, avec les autres, c'est "à l'ancienne", soit via mdp stocké dans le navigateur, dans ta tête, ou via un autre outil, etc.

avatar debione | 

@ marc_os:
Il faudra plusieurs choses pour cela, que ce soit adopté par absolument toutes les plateformes et open-source. Quand tu vois la jungle actuelle ce n'est pas gagné...

Sinon perso, je suis comme vous, à l'ancienne, mes mot de passe sont dans ma tête, mnémotechnique. Je me suis fait une seule fois hacker un mdp, et c'était celui que j'utilise de manière lambda sur tous les sites ou j'en ai rien à battre (genre macg), du coup je ne l'ai jamais changé.

Après, quand on voit le nombre de fois ou iCloud est en panne, sur un service comme cela, ce n'est pas acceptable. C'est le genre de service ou si il est en panne ben tu vas voir ton patron et tu lui dis: Bon ben aujourd'hui je travaille pas.

avatar thierry37 | 

@debione

Tout a fait !! Enfermement chez Apple

Déjà mon cas avec le trousseau
Je suis bien embêté sur mon ordi bureau quand je dois me connecter à un nouveau site d'achat et que j'avais créé mon compte sur mon mac / iPhone. (Enregistre automatiquement...)

avatar Saussau083 | 

@mne

Le trousseau iCloud est disponible sous la forme d’extensions sur Chrome si je dis pas de bêtises

avatar colossus928 | 

@Saussau083

Sur Mac peut-être.
Et sur PC ?

avatar colossus928 | 

@Saussau083

En effet désolé, merci.
J’ai fini par trouver également.

En revanche Firefox n’affiche pas encore cette option. Étrange car si edge et chrome le propose, ça doit être à leur portée.

avatar hairsplitter | 

Quand ce système sera opérationnel, Windows n'existera plus. :-)

avatar lamainfroide | 

Même questionnement.
Et pas uniquement si on change de système d'exploitation.
Si l'on doit consulter un site depuis un autre ordi apple, qui appartient à quelqu'un d'autre et sur lequel l'on n'est pas connecté avec notre Apple ID, ça se passe comment ?

avatar lll | 

Oh, ils trouveront bien un moyen à base d'iPhone ou d'Apple Watch !

avatar radeon | 

Je vois bien un mode de connexion qui demande les identifiants icloud avec une notification sur l’iPhone a valider, mais est-ce une bonne idée de se connecter à un service aussi sensible que du bancaire depuis un appareil public je ne pense pas.

avatar olwin | 

C'est pas pour tout de suite, mais çà sera un grand pas dans la sécurité :)

Vu que c'est basé sur le standard WebAuthn,c'est une bonne chose.
Ici le trousseau icloud est uniquement utilisé pour facilité leur utilisation (protégé par faceid/touchid,synchronisation entre device,récupérable en cas de perte de tel etc..)

avatar Amaczing | 

@olwin

WebAuthN cool 👍

avatar Tatooland | 

C’est vraiment essayer de réinventer la roue.
Sérieusement j’utilise Bitwarden, dispo même sur ton grille pain qui prend en charge tous type d’identifications pour 10 balles par an (oui par an !).
Pourquoi aller se verrouiller sur un truc uniquement dispo sur les plateformes Apple ?

avatar Krysten2001 | 

@Tatooland

Car système clé en main et pas besoin d’installer quoi que ce soit, gratuit,…

avatar marc_os | 

@ Tatooland

> Pourquoi aller se verrouiller sur un truc uniquement dispo sur les plateformes Apple ?

Pourquoi aller se verrouiller sur un truc payant disponible uniquement via une app qui n'est pas installée partout, et que tu ne pourras pas installer si elle ni s'y trouve pas au point de connexion que tu voudras utiliser à l'hôtel ?

avatar Tatooland | 

@marc_os

Bitwarden est dispo aussi à travers une web-app, si t’es vraiment dans la dèche, à partir du moment où tu as ton identifiant, ton mot de passe et un navigateur, tu as access à ton espace. Même en ligne de commande sur un ordi de 30 ans tu peux y avoir accès.
J’ai bien cherché et franchement, je ne vois pas ce qui peut arriver à la cheville de Bitwarden.

avatar youbzh | 

@Tatooland
Bitwarden est gratuit, ce sont les fonctionnalités avancées qui sont payantes. Une raison de plus pour l'utiliser, mais en voici d'autres :
- il est open source
- il est audité régulièrement par un tiers pour la sécurité
Pour moi son seul défaut actuel est de ne pas prendre en charge Touch ID sur Mac (sur iOS par contre ça marche au poil).

avatar idhem59 | 

Et encore, les fonctionnalités payantes sont vraiment de l'ordre du détail. La plus grosse fonctionnalité est le gestionnaire de TOTP, et ça on peut le faire ailleurs, ce qui est même mieux d'ailleurs dans l'absolu pour ne pas mettre ses accès et son système 2FA au même endroit. Sinon authentification par YubiKey ou du stockage de fichiers, ça concerne quand même peu de monde.

Cette version premium est surtout là en guise de don pour soutenir le projet (ce que j'encourage clairement à faire), la version gratuite n'ayant pas vraiment de limitation. Ni sur le nombre d'appareils synchronisés, ni sur le nombre de mots de passe stockés, etc.

avatar colossus928 | 

@Tatooland

Pour le remplissage ok.

Et il permet d’enregistrer automatiquement les ID et mots de passe depuis Safari comme le fait iOS nativement ?

Par contre dans mon pauvre navigateur Safari sur iOS 12, il ne s’affiche pas.
Donc pas aussi accessible que ça (même si il a l’air très bien et que je vais le tester).

avatar Amaczing | 

Inspiré de pgp, gpg ??!!

https://gnupg.org/

Comment s’inspirer de la roue ?

Bizarre que MacG n’en parle pas.

avatar BeePotato | 

@ Amaczing : « Inspiré de pgp, gpg ??!!
https://gnupg.org/ »

En quoi est-ce inspiré de ça ?

avatar Amaczing | 

@BeePotato

Principe couple clefs privée et publique

avatar YetOneOtherGit | 

@Amaczing

"Principe couple clefs privée et publique"

Qui n’est en rien une invention de GnuPG 😉

avatar Amaczing | 

@YetOneOtherGit

👍

avatar BeePotato | 

@ Amaczing : « Principe couple clefs privée et publique »

Et alors ?
Juste parce que ça utilise ce principe qui existe depuis longtemps, ça signifie que ça s’inspire de GPG qui n’est qu’un des nombreux logiciels utilisant également ce principe ?
Curieuse façon de voir les choses, vraiment. 🙄

Mais je pense que ça répond à la remarque que tu faisais : « Bizarre que MacG n’en parle pas. »
En fait, c’est probablement parce qu’il n’y a aucun lien d’inspiration à voir. 😉

avatar Amaczing | 

@BeePotato

Ou que tu es aigri dans ta vie et ne sache pas faire le lien avec les inspirations.

Pense à tourner ta langue de p… 7 fois dans ta bouche avant et de l’ouvrir. Et surtout dentifrice avant tout, brossage.

avatar BeePotato | 

@ Amaczing : « Ou que tu es aigri dans ta vie et ne sache pas faire le lien avec les inspirations. »

C’est sûrement ça. Je ne vois pas comment il pourrait en être autrement.
D’ailleurs il est bien connu que personne n’utilisait de chiffrement asymétrique avant l’arrivée de GPG, donc l’inspiration vient forcément de là.

« Pense à tourner ta langue de p… 7 fois dans ta bouche avant et de l’ouvrir. Et surtout dentifrice avant tout, brossage. »

Je vois. Merci pour cette argumentation très convaincante. L’inspiration m’apparaît maintenant bien plus clairement — comme, je n’en doute pas, à tout autre lecteur de ce brillant exposé.

avatar YetOneOtherGit | 

@BeePotato

"D’ailleurs il est bien connu que personne n’utilisait de chiffrement asymétrique avant l’arrivée de GPG, donc l’inspiration vient forcément de là."

RSA c’est après sans doute pour lui 😃😉

Pages

CONNEXION UTILISATEUR