Yubico : de nouvelles clés d'identification avec lecteur d'empreintes digitales
Dans le monde sans mots de passe que l'industrie nous concocte (Microsoft vit désormais en plein dedans, Apple s'y prépare), il faudra quand même bien quelque chose qui permette d'authentifier l'utilisateur de façon sécurisée.
La gamme YubiKey Bio, les nouvelles clés de Yubico, sont équipées d'un lecteur d'empreintes digitales. Elles permettent de se passer de la saisie du mot de passe d'un compte, il suffit de poser le doigt dessus pour s'identifier. Si l'utilisateur n'est pas en mesure d'utiliser ses doigts (ils sont mouillés, ils sont couverts de moufle, ils ont été dévorés par le chat), pas de panique, il est toujours possible de saisir le code de déverrouillage de la clé, à créer lors de la configuration initiale du périphérique.
L'empreinte digitale est stockée séparément et de manière sécurisée dans un des trois éléments qui composent l'architecture de la clé. Les clés, qui se déclinent avec un connecteur USB-C ou USB-A, offrent également un deuxième facteur d'identification. Elles sont compatibles avec les standards d'authentification FIDO2/WebAuthn et U2Fopen (Yubico y contribue) et peuvent s'utiliser sous macOS, Windows et Linux, ainsi que dans les navigateurs basés sur Chromium (dont Chrome, évidemment).
Les prix sont de 80 $ (USB-A) et de 85 $ (USB-C).
Hum, 80 dollars tout de même.
@Brice675
Pareil, le prix me bloque un peu. 😅
Sur un Mac avec Touch ID ça sert à quelque chose ?
Ou TouchID peut faire le boulot?
@xDave
Je me pose exactement la même question...
Côté Windows il me semble aussi qu'il y a des ordinateurs avec une identification biométrique, du coup est-ce que l'on a besoin de ces clés sur ces appareils ?
@weagt
On en n’a pas strictement besoin, mais ça permet d’apporter une sécurité supplémentaire : pour déverrouiller la session il faut avoir la clé avec soi, et la déverrouiller avec son empreinte, ce qui fait deux facteurs d’authentification, là où le mot de passe d’une session ou le lecteur d’empreinte ou la reconnaissance Windows hello ne représente qu’un seul facteur.
@dodomu
Si tu déverrouilles déjà ta session avec ton empreinte sur touchId, le second facteur avec cette clé est le même que le premier. Ou je rate quelque chose ?
@fornorst
Pas vraiment : pour déverrouiller la session avec touchId, il faut votre empreinte, cela fait un seul facteur.
Pour déverrouiller la session avec ce modèle ce clé Yubikey, il faut avoir l’empreinte, mais aussi la clé en elle-même, qui est associée au Mac, et cette clé spécifiquement, pas une autre !
La clé n’est pas juste un lecteur d’empreintes externe (auquel cas oui ça serait équivalent à touchId), c’est aussi une puce qui stocke des clés de chiffrement (un peu comme l’enclave sécurisée des iPhone)…
J’espère que c’est plus clair 🙂
@xDave
L’intérêt c’est d’avoir un second facteur d’authentification, cad qu’il faut avoir la clé en plus de l’empreinte pour déverrouiller la session.
@dodomu
Tu ne réponds pas à la question.
TouchID fait le taf donc. Vu que tu parles de second facteur
On peut s’en passer sur Mac équipé
@xDave
Si si, j’y répond 😉
Pour le déverrouillage de session, touchId n’est pas un second facteur, puisqu’il suffit à ouvrir la session, c’est donc un facteur unique.
Dans le cas de ces clés, pour accéder à la session il faut la clé, et spécifiquement le modèle que vous aurez appairé à vôtre Mac (premiers facteur) et votre empreinte pour déverrouiller la dite clé (second facteur). La clé n’est pas juste un lecteur d’empreintes externes, elle contient le même genre de puces que ce qui constitue l’enclave sécurisée des iPhone, ce qui lui permet de stocker des clés de chiffrement qui auront été transmises par le Mac lors de l’appairage initial avec le Mac.
@dodomu
Oui enfin. Non.
Je voyais l’utilité dans le contexte je saisis un mdp sur un site, et je valide avec empreinte (yubico ou TouchID).
Pour la session, faut être plus que paranoïaque et c’est casse gueule (perte, port saillant…)
@xDave
Mais même dans ce cas ça marche aussi 😉
Sans clé :
Mot de passe, touchId -> deux facteurs. (D’ailleurs notez que si c’est avec touchId que vous remplissez le mot de passe, via le trousseau iCloud par exemple, ça ne devient plus qu’un seul facteur, puisque le fait d’avoir l’empreinte donne automatiquement accès au mot de passe)
Avec la clé :
Mot de passe, la clé, déverrouillage de la clé avec votre empreinte -> trois facteurs.
🙂
Cela sert également pour s'authentifier sur un autre ordinateur.
Je n’ai pas de touchid sur Mac, cela sert de la même manière que sur iOS? On peut remplir ses champs d’authentification web avec?
> il est toujours possible de saisir le code de déverrouillage de la clé
Vous voulez dire... un mot de passe pour ce « monde sans mots de passe » ? 😃
Donc ça fera un mot de passe supplémentaire.
Trop cool.
C'est bien de déverrouiller de manière sécurisée sur ordinateur mais du coup ça se passe comment quand on veut déverrouiller sur iPhone iPad Android?