Yubico : de nouvelles clés d'identification avec lecteur d'empreintes digitales

Mickaël Bazoge |

Dans le monde sans mots de passe que l'industrie nous concocte (Microsoft vit désormais en plein dedans, Apple s'y prépare), il faudra quand même bien quelque chose qui permette d'authentifier l'utilisateur de façon sécurisée.

La gamme YubiKey Bio, les nouvelles clés de Yubico, sont équipées d'un lecteur d'empreintes digitales. Elles permettent de se passer de la saisie du mot de passe d'un compte, il suffit de poser le doigt dessus pour s'identifier. Si l'utilisateur n'est pas en mesure d'utiliser ses doigts (ils sont mouillés, ils sont couverts de moufle, ils ont été dévorés par le chat), pas de panique, il est toujours possible de saisir le code de déverrouillage de la clé, à créer lors de la configuration initiale du périphérique.

L'empreinte digitale est stockée séparément et de manière sécurisée dans un des trois éléments qui composent l'architecture de la clé. Les clés, qui se déclinent avec un connecteur USB-C ou USB-A, offrent également un deuxième facteur d'identification. Elles sont compatibles avec les standards d'authentification FIDO2/WebAuthn et U2Fopen (Yubico y contribue) et peuvent s'utiliser sous macOS, Windows et Linux, ainsi que dans les navigateurs basés sur Chromium (dont Chrome, évidemment).

Les prix sont de 80 $ (USB-A) et de 85 $ (USB-C).


Tags
avatar Brice675 | 

Hum, 80 dollars tout de même.

avatar razerblade | 

@Brice675

Pareil, le prix me bloque un peu. 😅

avatar xDave | 

Sur un Mac avec Touch ID ça sert à quelque chose ?
Ou TouchID peut faire le boulot?

avatar weagt | 

@xDave

Je me pose exactement la même question...
Côté Windows il me semble aussi qu'il y a des ordinateurs avec une identification biométrique, du coup est-ce que l'on a besoin de ces clés sur ces appareils ?

avatar dodomu | 

@weagt

On en n’a pas strictement besoin, mais ça permet d’apporter une sécurité supplémentaire : pour déverrouiller la session il faut avoir la clé avec soi, et la déverrouiller avec son empreinte, ce qui fait deux facteurs d’authentification, là où le mot de passe d’une session ou le lecteur d’empreinte ou la reconnaissance Windows hello ne représente qu’un seul facteur.

avatar fornorst | 

@dodomu

Si tu déverrouilles déjà ta session avec ton empreinte sur touchId, le second facteur avec cette clé est le même que le premier. Ou je rate quelque chose ?

avatar dodomu | 

@fornorst

Pas vraiment : pour déverrouiller la session avec touchId, il faut votre empreinte, cela fait un seul facteur.
Pour déverrouiller la session avec ce modèle ce clé Yubikey, il faut avoir l’empreinte, mais aussi la clé en elle-même, qui est associée au Mac, et cette clé spécifiquement, pas une autre !
La clé n’est pas juste un lecteur d’empreintes externe (auquel cas oui ça serait équivalent à touchId), c’est aussi une puce qui stocke des clés de chiffrement (un peu comme l’enclave sécurisée des iPhone)…
J’espère que c’est plus clair 🙂

avatar dodomu | 

@xDave

L’intérêt c’est d’avoir un second facteur d’authentification, cad qu’il faut avoir la clé en plus de l’empreinte pour déverrouiller la session.

avatar xDave | 

@dodomu

Tu ne réponds pas à la question.
TouchID fait le taf donc. Vu que tu parles de second facteur

On peut s’en passer sur Mac équipé

avatar dodomu | 

@xDave

Si si, j’y répond 😉
Pour le déverrouillage de session, touchId n’est pas un second facteur, puisqu’il suffit à ouvrir la session, c’est donc un facteur unique.
Dans le cas de ces clés, pour accéder à la session il faut la clé, et spécifiquement le modèle que vous aurez appairé à vôtre Mac (premiers facteur) et votre empreinte pour déverrouiller la dite clé (second facteur). La clé n’est pas juste un lecteur d’empreintes externes, elle contient le même genre de puces que ce qui constitue l’enclave sécurisée des iPhone, ce qui lui permet de stocker des clés de chiffrement qui auront été transmises par le Mac lors de l’appairage initial avec le Mac.

avatar xDave | 

@dodomu

Oui enfin. Non.
Je voyais l’utilité dans le contexte je saisis un mdp sur un site, et je valide avec empreinte (yubico ou TouchID).

Pour la session, faut être plus que paranoïaque et c’est casse gueule (perte, port saillant…)

avatar dodomu | 

@xDave

Mais même dans ce cas ça marche aussi 😉
Sans clé :
Mot de passe, touchId -> deux facteurs. (D’ailleurs notez que si c’est avec touchId que vous remplissez le mot de passe, via le trousseau iCloud par exemple, ça ne devient plus qu’un seul facteur, puisque le fait d’avoir l’empreinte donne automatiquement accès au mot de passe)
Avec la clé :
Mot de passe, la clé, déverrouillage de la clé avec votre empreinte -> trois facteurs.
🙂

avatar Avenger | 

Cela sert également pour s'authentifier sur un autre ordinateur.

avatar ingmar92110 | 

Je n’ai pas de touchid sur Mac, cela sert de la même manière que sur iOS? On peut remplir ses champs d’authentification web avec?

avatar marc_os | 

> il est toujours possible de saisir le code de déverrouillage de la clé

Vous voulez dire... un mot de passe pour ce « monde sans mots de passe » ? 😃
Donc ça fera un mot de passe supplémentaire.
Trop cool.

avatar LoossSS | 

C'est bien de déverrouiller de manière sécurisée sur ordinateur mais du coup ça se passe comment quand on veut déverrouiller sur iPhone iPad Android?

CONNEXION UTILISATEUR