Passkeys : le futur sans mots de passe se conjugue au présent

Anthony Nelzin-Santos |

Bien entendu que vous avez choisi des mots de passe robustes et uniques. Mais cela ne sert à rien en cas de piratage d’un site ou d’une application. Bien entendu que vous utilisez l’authentification à deux facteurs. Mais cela ne sert pas à grand-chose en cas d’attaque par hameçonnage perfectionnée. Alors que la plupart des menaces informatiques proviennent du web, Apple ne veut plus renforcer les mots de passe. Avec les passkeys, elle veut carrément les éliminer.

Image Apple/MacGeneration.

La création et l’enregistrement des mots de passe dans le navigateur éliminent le besoin de mémoriser (et réutiliser) les précieux sésames. Les gestionnaires spécialisés comme 1Password ou Secrets invitent à complexifier les mots de passe et désarment la plupart des attaques par hameçonnage. La multiplication des facteurs d’authentification, enfin, réduit l’efficacité des attaques frontales.


avatar iftwst | 

Vivement.
Quelle plaie ces mots de passe.

avatar Pipette | 

J’ai tout récemment vécu le décès d’un proche. Grand utilisateur d’Apple. Toute la gestion de ses comptes, de ses abonnements (tv/internet/magazines/….) se faisait via son iPhone ou son ordinateur… son décès a été inopiné, ce qu’il fait qu’il n’a pas su nous dire ses mots de passe et identifiant ni comment déverrouiller son gsm (portable)… du coup tout est bloqué et c’est une plaie de contacter chaque service, leur prouver le décès, demander l’annulation de l’abonnement, etc…
C’est clair que d’arriver à une solution sans mot de passe, via du matériel ou du logiciel cela peut être pratique, mais je m’inquiète de ce que mes enfants ou petits enfants devront faire pour « récupérer / stopper »mes différents comptes lors de mon décès…

avatar Anthony Nelzin-Santos | 
@Pipette : Apple propose des outils d’« héritage numérique » qui permettent de désigner un ou plusieurs légataires numériques. Les notaires sont de mieux en mieux formés et abordent de plus en plus souvent la question. Mais c’est vrai que cela reste encore un vrai problème.
avatar R-APPLE-R | 

@Anthony

Il y’a plein de solutions qui se mettent en place notamment grace a la blockchain et le Web 3.0 :
https://cryptoast.fr/blockchain-identification-numerique-revolution-france/
Par exemple les NFT sont une solution au faux billets pour que les problèmes du Stade de France ne se reproduisent plus.
D’ailleurs certains ont déjà commencé pour des concerts.
C’est peut-être déjà obsolète leurs solutions.
https://www.theagilityeffect.com/fr/review/la-blockchain-pour-en-finir-avec-les-mots-de-passe/

avatar ingmar92110 | 

@R-APPLE-R

Bof le plus simple serait peut-être que les billets soient nominatifs, comme un billet de train/avion, on aurait juste à montrer son passeport. Plus difficile à falsifier qu’un billet je pense.e plus besoin de billet du coup. Juste l’identité

avatar R-APPLE-R | 

@ingmar92110

Oui mais l’avantage avec un billet NFT c’est que vous pouvez le revendre et il reste toujours infalsifiable 😉

avatar oomu | 

@R-APPLE-R

oui mais voulons nous vraiment permettre un second marché de la revente... hmmMM ? :)

avatar R-APPLE-R | 

@oomu

Du moment que c’est légal oui, et puis plus de vendeurs au abord du stade car cela se fait sur la blockchain et se paye en cryptomonnaie et l’échange et assuré et immuable et le billet toujours infalsifiable.

Beaucoup ne comprennent pas aujourd’hui que le web 3.0 et la blockchain c’est l’avenir comme ceux qui ne voyaient pas à l’époque toute les utilisations a venir du 1.0 ou du 2.0 que nous utilisons aujourd’hui.

avatar raoolito | 

@Anthony

sinon nous sommes nombreux ici à être "l'informaticien.ne de la famille" (quelle déchéance) ce qui permet d'avoir une note cryptée avec la totalité des logs et msp de tout le monde hahaha

avatar ditek | 

@raoolito

Une note « securisé »? Tu n’a rien trouver de mieux ??

Bitwarden et un coffre familial est sans doute y’a solution.

avatar lepoulpebaleine | 

@ditek

« L’informaticien de la famille » : c’est tout à fait ça !

avatar Grahamcoxon | 

@Anthony

Bof. Je suis notaire et j ai beau être un geek on n’est hélas pas du tout formés sur le sujet.

avatar koko256 | 

@Pipette

Facile, il suffit de leur transmettre les clés privées au même titre qu'à l'heure actuelle il suffit de transmettre les mots de passe.

avatar Cyrille50 | 

Là vous compliquez les choses inutilement : celui qui se chargera de prévenir les créanciers que leur abonné préféré est décédé, c'est son banquier lors de la présentation du prélèvement. Cela fonctionne déjà très bien et depuis des lustres...

avatar Pipette | 

@Cyrille50

En Belgique pas spécialement en tout cas … le banquier va sans doute prévenir que le compte est bloqué, mais ce n’est pas pour autant que l’abonnement sera arrêté…

avatar Nico_Belgium | 

@Pipette

Si ils ne peuvent plus prélever sur le compte, les abonnements vont s’arrêter de toute manière non? 🧐

avatar wip | 

Effectivement Pipette, vivant le même genre de situation, je suis aussi inquiet de ce côté là.

avatar wip | 

@Anthony, L’héritage numérique d’Apple, je me suis penché dessus, mais encore une fois, il faut des appareils récents ;)

avatar austinforest | 

Est-ce que les passkeys sont partageables entre deux (ou plus) utilisateurs?

avatar YuYu | 

@austinforest

Comme décrit dans l’article :
« Le même mécanisme peut être utilisé pour partager un compte avec un proche, mais une clé n’est jamais qu’un fichier, et peut donc être transférée avec AirDrop pour être enregistrée sur un autre appareil. »

avatar austinforest | 

@YuYu

Oups merci.

avatar Anthony Nelzin-Santos | 
@austinforest : oui.
avatar austinforest | 

@Anthony

Merci

avatar Link1993 | 

Ce qui m'inquiete sur ce sujet, c'est comment cela va se passer quand on va se connecter avec un appareil plus ancien par la suite.

avatar Anthony Nelzin-Santos | 
@Link1993 : avec le même mécanisme de code QR, ou d’autres mécanismes d’authentification qui permettent d’impliquer un appareil contenant la clé de passe pour sécuriser la transaction.
avatar Link1993 | 

@Anthony

Donc faudra sortir le téléphone à chaque fois. A moins que le navigateur (sur un autre ordinateur comme un PC windows par exemple) sauvegarde la clé pour ce mécanisme,

avatar Anthony Nelzin-Santos | 
@Link1993 : non justement, le principe est bien que la clé reste à l’abri et ne soit pas diffusée aux quatre vents.
avatar YuYu | 

La session WWDC sur le sujet est passionnante :
https://developer.apple.com/videos/play/wwdc2022/10092/

avatar Rom 1 | 

Bizarre cette traduction en « clés de passe », « codes d’accès » comme le fait Apple semble plus pertinent.

avatar YuYu | 

@Rom 1

Ça sera certainement corrigé dans une future bêta…

avatar Rom 1 | 

@YuYu

Je parlais de l’article. 😉

avatar BananaYatta | 

(Never mind)

avatar ditek | 

Bien que Passkey soit séduisant sur le papier voici ce qui pourrait me gêner :
- fonctionne uniquement avec SAFARI
- fonctionne uniquement avec les produits Apple
- quand on change d’écosystème -> possibilité d’export/import ?
- appareil volé ? Comment reset ?
- compatible uniquement avec le trousseau Apple -> rédhibitoire. J’en ai tellement suer quand j’ai voulu me séparer du trousseau pour tout réimporter ailleurs -> plus jamais !

avatar Anthony Nelzin-Santos | 
@ditek : c’est un standard de l’industrie, soutenu aussi par Google et Microsoft, il ne sera disponible ni uniquement sur Safari ni uniquement sur les appareils d’Apple. En cas de vol, le Trousseau iCloud permet de restaurer les clés. Nul doute que des solutions de transfert sécurité seront développées pour passer d’un écosystème à l’autre, et rien n’empêche d’imaginer que les gestionnaires de mots de passe deviennent des gestionnaires des clés de passe.
avatar Cyrille50 | 

Absolument pas. C'est un standard industriel et cela fonctionnera sur tous les navigateurs et sur tous les OS justement.

avatar lepoulpebaleine | 

« Les gestionnaires de mots de passe, enfin, sont (dé)verrouillés… par un mot de passe. »

Je mets tous les hackers de la terre au défit de trouver mon mot de passe maître. À part me mettre un pistolet sur la tempe, je crois que c’est juste impossible.

avatar ingmar92110 | 

@lepoulpebaleine

Trop facile: lepoulpebaleine01

avatar lepoulpebaleine | 

@ingmar92110

Comment as-tu deviné ? 😱😂

avatar BitNic | 

ENFIN

avatar koko256 | 

"Un site A ne peut pas vérifier les données signées avec la clé privée associée à un site B, même s’il est en possession de la clé publique du site B, et vice-versa."
J'ai dû mal avec cette phrase. Si j'ai la clé publique, je peux vérifier la signature...

avatar oomu | 

@koko256

un couple clé privée / publique PAR domaine de site web sera généré.

Et vos machines se synchroniseront pour garder ses clés privées. Elle seront elles même chiffrées et protégées par un élément fort d'authentification sur vos machines (faceid par exemple, ou une passephrase au démarrage de la machine, etc)

avatar koko256 | 

RSA à 45 ans, le temps qu'il a fallu pour que le système (maintenant on fera plutôt de l'ECDSA) arrive chez les c... du W3C... pitoyable.

avatar Rifilou | 

Sera-t-il possible de passer d’un mot de passe à un code d’accès sur un site donné, afin d’améliorer la sécurité de son compte ?

avatar frankm | 

Safari + Boursorama + Touch ID = connexion sans mot de passe

CONNEXION UTILISATEUR