Passkeys : Apple prépare doucement la disparition des mots de passe
Apple a implémenté dans macOS 12.3 et iOS 15.4 une nouveauté pour l'instant invisible mais qui devrait changer le futur de la sécurité informatique. Dans ces systèmes actuellement en bêta figure Passkeys, un système d'authentification pour les apps et les sites web qui ne demande aucun mot de passe.
Présenté à la WWDC 2021, Passkeys repose sur des clés cryptographiques (les passkeys) enregistrées dans le trousseau iCloud. Dans le détail, l'appareil Apple génère une paire de clés (une publique et une privée) à chaque création de compte. Au moment de se connecter sur le site ou l'app, l'appareil partage la clé publique après authentification de l'utilisateur grâce à Touch ID ou Face ID.
Passkeys et WebAuthn : Apple imagine un futur sans mots de passe
Ce ne sont que les prémices d'un futur sans mot de passe, il faut que la technologie soit finalisée et surtout adoptée par les éditeurs pour devenir concrète, ce qui ne se fera pas d'un claquement de doigts.
En attendant, puisqu'il faut toujours faire avec les mots de passe, iOS 15.4 améliore le sélecteur de compte qui apparait quand on a des mots de passe stockés dans différentes apps (et que l'on a autorisé ces apps à faire du remplissage automatique).
An iOS 15.4 change that I adore: Sign into the Amazon app. You’ll get a beautiful account picker *that includes passwords from your password manager of choice*.
— Ricky Mondello (@rmondello) January 28, 2022
The deprecated SecRequestSharedWebCredential API is now implemented with the modern ASAuthorizationPasswordRequest. pic.twitter.com/ruuC8ds95M
Je le demande comment cela fonctionnera quand on passera d’un mac à un Windows ou un android du coup
@mne
Quelle drôle d’idée :p
@radeon
XD
En fait je me suis déjà retrouvé dans le cas de devoir accéder à un service (mail, banque etc.) à l'étranger ou hors de chez moi, et j'avais du recopier le mot de passe depuis mon gestionnaire sur mobile. Pas pratique mais c'était la seule solution pour garder avec soi un mdp de 32 caractères aléatoires. Déjà que c'est risqué de se reposer sur la batterie de son smartphone dans cette situation, comment faire quand il n'y a plus de mdp et que l'identification se repose sur la reconnaissance d'un appareil quel qu'il soit ?
> la seule solution pour garder avec soi un mdp de 32 caractères aléatoires
Une autre solution est de ne pas utiliser les caractères aléatoires proposés par le système mais d'utiliser un mdp personnel. Pour ma part, j'utilise toujours le même "format" perso associé à un moyen mnémotechnique pour mes mots de passe. Plus une copie physique au cas où.
@marc_os
c'est vrai
Mais du coup cette solution n'est pas compatible avec passkeys d'apple :)
@marc_os
Comment faire un moyen mnémotechnique pour garder 50 mots de passe différents ?
(Sans faire "la phrase pass Google" "la phrase pass Apple" "la phrase pass FB" etc...)
@thierry37
Par exemple se que je fais : une suite de 10 caractères genre GRui85Oh-/
Après par exemple Facebook tu rajoutes les 3 premières lettres : Fac
Et après tu peux rajouter des chiffres derrières, style le nombre de chiffres, par exemple encore Facebook : 08
Le mot de passe donne : GRui85Oh-/Fac08
Pas faire trop long car certains sites ne dépassent pas 16 caractères pour un mot de passe donc si tu veux pas avoir de combinaisons différentes pour certains sites (qu’on oublie avec le temps), faut pas dépasser les 16 caractères 😉.
Voilà voilà rien de dur. Après c’est lisible si le gars est pas con que Facebook c’est Fac08 et peut trouver d’autres mdp d’autres site (si il a la bonne adresse) donc le F de Facebook tu me mets au milieu de GRui85Oh-/ style ici GRuiF85Oh-/ et ça donne : GRuiF85Oh-/ac08
Après tu peux aussi compter pour trouver le numéro sur le clavier par exemple encore Facebook : le F est en 14, le a en 01 et le c en 23.
Faire attention à certains caractères spéciaux aussi qui ne sont pas pris en compte par certains sites 😉
Dernière astuce pour le Fac08 tu prends bien le nom de domaine car certains sites n’ont pas le même nom de domaine que le nom de l’entreprise au moins ça change jamais donc tu sais que c’est ça.
J’ai un exemple (je suis buraliste) le site Socopi en faite le nom de domaine c’est Protabac au moins tu te mélange pas à savoir si t’as mis l’un ou l’autre.
Et si tu oublies malheureusement un jour un mdp, tu réinitialises avec ton adresse mail (ou autre) et t’auras jamais de problèmes 😉. Si jamais tu fais par SMS (se que je conseille pas du tout) n’oublies pas de changer ton numéro dans touuuuuut les sites se qui te prendras bien du temps. Et si tu perds ton téléphone bah t’es mal barré…
Voilà je peux pas faire plus complet 😂
@Charlesl15
C’est la pire des façons de jouer avec la sécurité, ça n’est absolument pas une protection fiable, l’algorithme sera toujours simple à trouver …
Rien ne vaut un gestionnaire de mot de passe qui génère aléatoirement des mots de passe de 30 caractères. Vaut mieux utiliser KeePass (gratuit et open source), un seul fichier en local qui contient tous les mots de passe et chiffré via une passphrase
@pulsarium
"C’est la pire des façons de jouer avec la sécurité, ça n’est absolument pas une protection fiable, l’algorithme sera toujours simple à trouver …"
C’est étrangement à la mode ce type de martingale, alors que c’est très loin d’être une bonne pratique.
@YetOneOtherGit
J’ai répondu à pulsarium si tu veux aller voir et proposer une solution je suis preneur 😂
@Charlesl15
"J’ai répondu à pulsarium "
Je sais et je j’abondai dans ton sens 😎
@pulsarium
Et tu penses qu’un fichier stocké est plus sécurisant? 😂. Désolé mais je pense pas. Après vaut mieux toujours se que je fais que de mettre un truc bidon comme se que font 90% des gens. Après le seul moyen d’être « vraiment » safe c’est d’avoir une double authentification avec une clé physique que tu connectes à ton téléphone ou pc et authentifier la connexion avec le lecteur d’empreinte mais bon si tu la perds je sais pas comment ça se passe. Et puis bon les gestionnaires de mdp c’est bien beau mais ça doit être piratable et j’ai pas vraiment confiance. J’ai jamais utilisé trousseau d’Apple et ça changera pas. Et en vrai, les mdp personne s’amuse a les trouver, c’est souvent des hacks qui volent les identifiants et mdp directement sur les serveurs du site. Enfin bon j’ai toujours utilisé le même mdp partout jusqu’à y a 3 ans, et maintenant je fais comme j’ai décris et j’ai jamais eu de problèmes.
Du coup j’attend une solution autre qu’un gestionnaire qui pour moi n’est pas safe. Car celui qui y accède bah il a accès à TOUT tes mdp enfin je vois pas en quoi c’est safe.. Le plus important c’est de pas se faire voler les mdp des boites mails. Si on en oublie un ou on se fait pirater un site on réinitialise et basta.
Et puis en vrai on se casse la tête avec tout ça mais si le site se fait hacker, mdp ou non ils peuvent accéder plus ou moins à tout donc bon.. Y a jamais réellement de solutions 😅
@Charlesl15
Tu m’as fait penser à lui 🤣🤣!!
« Mireille est plutôt joufflue » 🤣
https://m.youtube.com/watch?v=GsBFJObh3ko
@cecile_aelita
Mdrrr j’avais jamais vu ça merci pour ces 3 min de sketch 😂
@Charlesl15
De rien ❤️
@radeon
❤️❤️
@radeon
😂👍🏻
@ mne:
Me suis aussi posé la question de savoir si ce n'est pas simplement un enfermement de plus dans les éco-systèmes... Que ce soit toujours plus contraignant, sous couvert de.... sécurité (tient tient)
@debione
C’est certain qu’il faudrait que ça soit universel et adopté par tous. Je stocke les Login+mdp de mes jeux pc dans le trousseau et je dois les a chaque fois aller fouiller pour les voir. Ça serait vraiment cool qu’une demande d’authentification arrive direct sur mon iPhone.
@debione
Personne ne sera obligé d’aller dans cette direction, comme avec le connection via Apple.
Finalement, l'aspect pratique est quand même souvent l'ennemi de la sécurité et je préfère un système contraignant mais décentralisé que des solutions intégrées. Finalement, recopier son mot de passe depuis un bloc-notes papier semble paradoxalement plus sécurisé aujourd'hui.
@ debione
> Me suis aussi posé la question de savoir si ce n'est pas simplement un enfermement de plus dans les éco-systèmes.
Il ne s'agit pas d'un "enfermement", mais d'un possibilité nouvelle. Qui de plus pourrait-être généralisée. En gros, avec les systèmes qui le supporte(ro)nt, c'est plus simple, avec les autres, c'est "à l'ancienne", soit via mdp stocké dans le navigateur, dans ta tête, ou via un autre outil, etc.
@ marc_os:
Il faudra plusieurs choses pour cela, que ce soit adopté par absolument toutes les plateformes et open-source. Quand tu vois la jungle actuelle ce n'est pas gagné...
Sinon perso, je suis comme vous, à l'ancienne, mes mot de passe sont dans ma tête, mnémotechnique. Je me suis fait une seule fois hacker un mdp, et c'était celui que j'utilise de manière lambda sur tous les sites ou j'en ai rien à battre (genre macg), du coup je ne l'ai jamais changé.
Après, quand on voit le nombre de fois ou iCloud est en panne, sur un service comme cela, ce n'est pas acceptable. C'est le genre de service ou si il est en panne ben tu vas voir ton patron et tu lui dis: Bon ben aujourd'hui je travaille pas.
@debione
Tout a fait !! Enfermement chez Apple
Déjà mon cas avec le trousseau
Je suis bien embêté sur mon ordi bureau quand je dois me connecter à un nouveau site d'achat et que j'avais créé mon compte sur mon mac / iPhone. (Enregistre automatiquement...)
@mne
Le trousseau iCloud est disponible sous la forme d’extensions sur Chrome si je dis pas de bêtises
@Saussau083
Sur Mac peut-être.
Et sur PC ?
@colossus928
Sur PC également :
https://www.macg.co/logiciels/2021/01/le-trousseau-icloud-bientot-disponible-dans-chrome-sur-windows-119309
@Saussau083
En effet désolé, merci.
J’ai fini par trouver également.
En revanche Firefox n’affiche pas encore cette option. Étrange car si edge et chrome le propose, ça doit être à leur portée.
Quand ce système sera opérationnel, Windows n'existera plus. :-)
Même questionnement.
Et pas uniquement si on change de système d'exploitation.
Si l'on doit consulter un site depuis un autre ordi apple, qui appartient à quelqu'un d'autre et sur lequel l'on n'est pas connecté avec notre Apple ID, ça se passe comment ?
Oh, ils trouveront bien un moyen à base d'iPhone ou d'Apple Watch !
Je vois bien un mode de connexion qui demande les identifiants icloud avec une notification sur l’iPhone a valider, mais est-ce une bonne idée de se connecter à un service aussi sensible que du bancaire depuis un appareil public je ne pense pas.
C'est pas pour tout de suite, mais çà sera un grand pas dans la sécurité :)
Vu que c'est basé sur le standard WebAuthn,c'est une bonne chose.
Ici le trousseau icloud est uniquement utilisé pour facilité leur utilisation (protégé par faceid/touchid,synchronisation entre device,récupérable en cas de perte de tel etc..)
@olwin
WebAuthN cool 👍
C’est vraiment essayer de réinventer la roue.
Sérieusement j’utilise Bitwarden, dispo même sur ton grille pain qui prend en charge tous type d’identifications pour 10 balles par an (oui par an !).
Pourquoi aller se verrouiller sur un truc uniquement dispo sur les plateformes Apple ?
@Tatooland
Car système clé en main et pas besoin d’installer quoi que ce soit, gratuit,…
@ Tatooland
> Pourquoi aller se verrouiller sur un truc uniquement dispo sur les plateformes Apple ?
Pourquoi aller se verrouiller sur un truc payant disponible uniquement via une app qui n'est pas installée partout, et que tu ne pourras pas installer si elle ni s'y trouve pas au point de connexion que tu voudras utiliser à l'hôtel ?
@marc_os
Bitwarden est dispo aussi à travers une web-app, si t’es vraiment dans la dèche, à partir du moment où tu as ton identifiant, ton mot de passe et un navigateur, tu as access à ton espace. Même en ligne de commande sur un ordi de 30 ans tu peux y avoir accès.
J’ai bien cherché et franchement, je ne vois pas ce qui peut arriver à la cheville de Bitwarden.
@Tatooland
Bitwarden est gratuit, ce sont les fonctionnalités avancées qui sont payantes. Une raison de plus pour l'utiliser, mais en voici d'autres :
- il est open source
- il est audité régulièrement par un tiers pour la sécurité
Pour moi son seul défaut actuel est de ne pas prendre en charge Touch ID sur Mac (sur iOS par contre ça marche au poil).
Et encore, les fonctionnalités payantes sont vraiment de l'ordre du détail. La plus grosse fonctionnalité est le gestionnaire de TOTP, et ça on peut le faire ailleurs, ce qui est même mieux d'ailleurs dans l'absolu pour ne pas mettre ses accès et son système 2FA au même endroit. Sinon authentification par YubiKey ou du stockage de fichiers, ça concerne quand même peu de monde.
Cette version premium est surtout là en guise de don pour soutenir le projet (ce que j'encourage clairement à faire), la version gratuite n'ayant pas vraiment de limitation. Ni sur le nombre d'appareils synchronisés, ni sur le nombre de mots de passe stockés, etc.
@Tatooland
Pour le remplissage ok.
Et il permet d’enregistrer automatiquement les ID et mots de passe depuis Safari comme le fait iOS nativement ?
Par contre dans mon pauvre navigateur Safari sur iOS 12, il ne s’affiche pas.
Donc pas aussi accessible que ça (même si il a l’air très bien et que je vais le tester).
Inspiré de pgp, gpg ??!!
https://gnupg.org/
Comment s’inspirer de la roue ?
Bizarre que MacG n’en parle pas.
@ Amaczing : « Inspiré de pgp, gpg ??!!
https://gnupg.org/ »
En quoi est-ce inspiré de ça ?
@BeePotato
Principe couple clefs privée et publique
@Amaczing
"Principe couple clefs privée et publique"
Qui n’est en rien une invention de GnuPG 😉
@YetOneOtherGit
👍
@ Amaczing : « Principe couple clefs privée et publique »
Et alors ?
Juste parce que ça utilise ce principe qui existe depuis longtemps, ça signifie que ça s’inspire de GPG qui n’est qu’un des nombreux logiciels utilisant également ce principe ?
Curieuse façon de voir les choses, vraiment. 🙄
Mais je pense que ça répond à la remarque que tu faisais : « Bizarre que MacG n’en parle pas. »
En fait, c’est probablement parce qu’il n’y a aucun lien d’inspiration à voir. 😉
@BeePotato
Ou que tu es aigri dans ta vie et ne sache pas faire le lien avec les inspirations.
Pense à tourner ta langue de p… 7 fois dans ta bouche avant et de l’ouvrir. Et surtout dentifrice avant tout, brossage.
@ Amaczing : « Ou que tu es aigri dans ta vie et ne sache pas faire le lien avec les inspirations. »
C’est sûrement ça. Je ne vois pas comment il pourrait en être autrement.
D’ailleurs il est bien connu que personne n’utilisait de chiffrement asymétrique avant l’arrivée de GPG, donc l’inspiration vient forcément de là.
« Pense à tourner ta langue de p… 7 fois dans ta bouche avant et de l’ouvrir. Et surtout dentifrice avant tout, brossage. »
Je vois. Merci pour cette argumentation très convaincante. L’inspiration m’apparaît maintenant bien plus clairement — comme, je n’en doute pas, à tout autre lecteur de ce brillant exposé.
@BeePotato
"D’ailleurs il est bien connu que personne n’utilisait de chiffrement asymétrique avant l’arrivée de GPG, donc l’inspiration vient forcément de là."
RSA c’est après sans doute pour lui 😃😉
Pages