Passkeys : le futur sans mots de passe se conjugue au présent
Bien entendu que vous avez choisi des mots de passe robustes et uniques. Mais cela ne sert à rien en cas de piratage d’un site ou d’une application. Bien entendu que vous utilisez l’authentification à deux facteurs. Mais cela ne sert pas à grand-chose en cas d’attaque par hameçonnage perfectionnée. Alors que la plupart des menaces informatiques proviennent du web, Apple ne veut plus renforcer les mots de passe. Avec les passkeys, elle veut carrément les éliminer.
La création et l’enregistrement des mots de passe dans le navigateur éliminent le besoin de mémoriser (et réutiliser) les précieux sésames. Les gestionnaires spécialisés comme 1Password ou Secrets invitent à complexifier les mots de passe et désarment la plupart des attaques par hameçonnage. La multiplication des facteurs d’authentification, enfin, réduit l’efficacité des attaques frontales.
Vivement.
Quelle plaie ces mots de passe.
J’ai tout récemment vécu le décès d’un proche. Grand utilisateur d’Apple. Toute la gestion de ses comptes, de ses abonnements (tv/internet/magazines/….) se faisait via son iPhone ou son ordinateur… son décès a été inopiné, ce qu’il fait qu’il n’a pas su nous dire ses mots de passe et identifiant ni comment déverrouiller son gsm (portable)… du coup tout est bloqué et c’est une plaie de contacter chaque service, leur prouver le décès, demander l’annulation de l’abonnement, etc…
C’est clair que d’arriver à une solution sans mot de passe, via du matériel ou du logiciel cela peut être pratique, mais je m’inquiète de ce que mes enfants ou petits enfants devront faire pour « récupérer / stopper »mes différents comptes lors de mon décès…
@Anthony
Il y’a plein de solutions qui se mettent en place notamment grace a la blockchain et le Web 3.0 :
https://cryptoast.fr/blockchain-identification-numerique-revolution-france/
Par exemple les NFT sont une solution au faux billets pour que les problèmes du Stade de France ne se reproduisent plus.
D’ailleurs certains ont déjà commencé pour des concerts.
C’est peut-être déjà obsolète leurs solutions.
https://www.theagilityeffect.com/fr/review/la-blockchain-pour-en-finir-avec-les-mots-de-passe/
@R-APPLE-R
Bof le plus simple serait peut-être que les billets soient nominatifs, comme un billet de train/avion, on aurait juste à montrer son passeport. Plus difficile à falsifier qu’un billet je pense.e plus besoin de billet du coup. Juste l’identité
@ingmar92110
Oui mais l’avantage avec un billet NFT c’est que vous pouvez le revendre et il reste toujours infalsifiable 😉
@R-APPLE-R
oui mais voulons nous vraiment permettre un second marché de la revente... hmmMM ? :)
@oomu
Du moment que c’est légal oui, et puis plus de vendeurs au abord du stade car cela se fait sur la blockchain et se paye en cryptomonnaie et l’échange et assuré et immuable et le billet toujours infalsifiable.
Beaucoup ne comprennent pas aujourd’hui que le web 3.0 et la blockchain c’est l’avenir comme ceux qui ne voyaient pas à l’époque toute les utilisations a venir du 1.0 ou du 2.0 que nous utilisons aujourd’hui.
@Anthony
sinon nous sommes nombreux ici à être "l'informaticien.ne de la famille" (quelle déchéance) ce qui permet d'avoir une note cryptée avec la totalité des logs et msp de tout le monde hahaha
@raoolito
Une note « securisé »? Tu n’a rien trouver de mieux ??
Bitwarden et un coffre familial est sans doute y’a solution.
@ditek
« L’informaticien de la famille » : c’est tout à fait ça !
@Anthony
Bof. Je suis notaire et j ai beau être un geek on n’est hélas pas du tout formés sur le sujet.
@Pipette
Facile, il suffit de leur transmettre les clés privées au même titre qu'à l'heure actuelle il suffit de transmettre les mots de passe.
Là vous compliquez les choses inutilement : celui qui se chargera de prévenir les créanciers que leur abonné préféré est décédé, c'est son banquier lors de la présentation du prélèvement. Cela fonctionne déjà très bien et depuis des lustres...
@Cyrille50
En Belgique pas spécialement en tout cas … le banquier va sans doute prévenir que le compte est bloqué, mais ce n’est pas pour autant que l’abonnement sera arrêté…
@Pipette
Si ils ne peuvent plus prélever sur le compte, les abonnements vont s’arrêter de toute manière non? 🧐
@Nico_Belgium
Non, je crois que la personne reste redevable, et par conséquent ses héritiers.
@Lightman
Sur des abonnements ou une résiliation est obligatoire (téléphone / internet et compagnie), oui certainement.
Par contre sur des abonnements en ligne (genre Apple Music, Amazon, etc..), je pense qu’ils se prennent pas la tête et résilient faute de moyen de paiement valables.
Effectivement Pipette, vivant le même genre de situation, je suis aussi inquiet de ce côté là.
@Anthony, L’héritage numérique d’Apple, je me suis penché dessus, mais encore une fois, il faut des appareils récents ;)
Est-ce que les passkeys sont partageables entre deux (ou plus) utilisateurs?
@austinforest
Comme décrit dans l’article :
« Le même mécanisme peut être utilisé pour partager un compte avec un proche, mais une clé n’est jamais qu’un fichier, et peut donc être transférée avec AirDrop pour être enregistrée sur un autre appareil. »
@YuYu
Oups merci.
@Anthony
Merci
Ce qui m'inquiete sur ce sujet, c'est comment cela va se passer quand on va se connecter avec un appareil plus ancien par la suite.
@Anthony
Donc faudra sortir le téléphone à chaque fois. A moins que le navigateur (sur un autre ordinateur comme un PC windows par exemple) sauvegarde la clé pour ce mécanisme,
La session WWDC sur le sujet est passionnante :
https://developer.apple.com/videos/play/wwdc2022/10092/
Bizarre cette traduction en « clés de passe », « codes d’accès » comme le fait Apple semble plus pertinent.
@Rom 1
Ça sera certainement corrigé dans une future bêta…
@YuYu
Je parlais de l’article. 😉
(Never mind)
Bien que Passkey soit séduisant sur le papier voici ce qui pourrait me gêner :
- fonctionne uniquement avec SAFARI
- fonctionne uniquement avec les produits Apple
- quand on change d’écosystème -> possibilité d’export/import ?
- appareil volé ? Comment reset ?
- compatible uniquement avec le trousseau Apple -> rédhibitoire. J’en ai tellement suer quand j’ai voulu me séparer du trousseau pour tout réimporter ailleurs -> plus jamais !
Absolument pas. C'est un standard industriel et cela fonctionnera sur tous les navigateurs et sur tous les OS justement.
« Les gestionnaires de mots de passe, enfin, sont (dé)verrouillés… par un mot de passe. »
Je mets tous les hackers de la terre au défit de trouver mon mot de passe maître. À part me mettre un pistolet sur la tempe, je crois que c’est juste impossible.
@lepoulpebaleine
Trop facile: lepoulpebaleine01
@ingmar92110
Comment as-tu deviné ? 😱😂
ENFIN
"Un site A ne peut pas vérifier les données signées avec la clé privée associée à un site B, même s’il est en possession de la clé publique du site B, et vice-versa."
J'ai dû mal avec cette phrase. Si j'ai la clé publique, je peux vérifier la signature...
@koko256
un couple clé privée / publique PAR domaine de site web sera généré.
Et vos machines se synchroniseront pour garder ses clés privées. Elle seront elles même chiffrées et protégées par un élément fort d'authentification sur vos machines (faceid par exemple, ou une passephrase au démarrage de la machine, etc)
RSA à 45 ans, le temps qu'il a fallu pour que le système (maintenant on fera plutôt de l'ECDSA) arrive chez les c... du W3C... pitoyable.
Sera-t-il possible de passer d’un mot de passe à un code d’accès sur un site donné, afin d’améliorer la sécurité de son compte ?
Safari + Boursorama + Touch ID = connexion sans mot de passe