Le plan de l'industrie pour se débarrasser des mots de passe

Félix Cattafesta |

Doucement, mais sûrement, on se rapproche de la fin des mots de passe. L'alliance FIDO, qui regroupe de nombreux acteurs travaillant sur de nouvelles méthodes d'authentification, a présenté un concept qui sera selon elle le premier à être « en mesure de remplacer les mots de passe comme forme dominante d'authentification sur internet ».

L'association estime que si les clefs de sécurité physiques (comme les produits YubiKey) sont un pas en avant vers une démarche sécurisée et ne nécessitant pas de se souvenir d'une série de caractères, leur adoption par le grand public est limitée pour deux raisons. Premièrement, ce n'est pas vraiment pratique au quotidien pour l'utilisateur lambda. Deuxièmement, il reste nécessaire d'entrer son mot de passe dans certains cas, par exemple lorsqu'on se connecte sur un site depuis un nouvel appareil. Pour résoudre ce problème, l'alliance a une idée : utiliser le smartphone comme clef de sécurité.

Image : Pixabay.

avatar doloris | 

Dans le cas de l’authentification à partir d’un Mac, il est plus probable que l’authentificator soit le Mac plutôt qu’un iPhone en Bluetooth..

avatar StephanM3 | 

On est pas toujours a portée de son Mac, comment on fait ?

avatar doloris | 

@StephanM3

Aucune obligation d’avoir une seule machine permettant l’authentification… ça peut être le smartphone et le Mac

avatar fte | 

@doloris

"ça peut être le smartphone et le Mac"

Tant que ça reste chez Apple.

avatar doloris | 

@fte

Non, les PC compatibles Windows Hello sont aussi acceptés

avatar fte | 

@doloris

"Non, les PC compatibles Windows Hello sont aussi acceptés"

Je sais. Ce n’est pas ce que je sous-entendais. Je sous-entendais que la solution qu’Apple proposera ne sera évidemment pas interopérable. Et si le DMA devait ne pas passer ou ne pas être adapté à ces circonstances, il y a fort à parier que les éditeurs voulant publier des apps sur iOS seront contraints d’utiliser la solution d’Apple, voire seront contraints à n’utiliser que la solution d’Apple ou, dans le meilleur des cas, pourront utiliser d’autres systèmes aussi tant qu’ils n’en parlent pas dans l’application.

Là c’est clair, c’est sans moi.

avatar frankm | 

@StephanM3

Je ne saisis aucun mot de passe sur mes appareils. Face ID / Touch ID, pif paf pouf.
A l’exception du pc de boulot, mais là c’est comme 15 ans en arrière, le voyage dans le temps existe

avatar Paul Position | 

@frankm

Enfin si, de temps en temps tous les appareils Apple demandent un mot de passe, et après redémarrage c'est même systématique.

avatar Kubusiu | 

@frankm

Certes, mais pour votre pif par pouf, il a bien fallu que vous le créiez ce mot de passe, tout de même…

avatar 406 | 

Certains ne pourront plus dire qu'on leur a piraté leur compte et que le dernier propos tenue n'était pas d'eux… (excuse bidon point com)

avatar DG33 | 

FIDO ? Mouarf 🐶

avatar jmquidet | 

Entre Mac et iPhone, l’app "Unlox" fonctionne très bien depuis janvier 2018…
https://apps.apple.com/fr/app/unlox/id1313188193

Voir aussi https://clubigen.fr/macg/article/107527 😜

avatar raoolito | 

@jmquidet

Oui mais seulement pour deverouiller le mac, on parle de plus là..,

avatar cricri13009 | 

Ce système supprime la gestion côté utilisateur mais pas du côté serveur. Or, pour moi, aujourd’hui, les vulnérabilités se situent plus du côté de ce dernier. Il ne se passe pas une journée sans qu’on attende parler d’une entreprise qui s’est fait pirater sa base de données utilisateur. Et comme, pour des raisons de compatibilité descendante, on pourra toujours se connecter en saisissant un mot de passe, ce système ne diminue que peu le risque de piratage.

avatar Krysten2001 | 

@cricri13009

Ça dépend. Avec le trousseau iCloud c’est chiffrer de bout en bout 😉

avatar doloris | 

@cricri13009

Donc au pire on reste pareil; au mieux on améliore…
En effet, avec FIDO c’est obligatoire une bi-clé par domaine (donc tous différents, un pour chaque site) et ce n’est pas le mot de passe qui est stocké côté serveur mais la clé publique qui par définition n’est pas secrète. Donc si elle fuite ce n’est pas un problème…

avatar koko256 | 

Il est temps. Dire que l'authentification par clefs asymétriques est parfaitement incluse dans tls (donc https) depuis que le protocole existe. S'ils veulent ajouter une couche de signature par la clef en Bluetooth via le téléphone (ou un appareil dédié pour ceux qui le souhaitent, même si ce sera probablement quand même un smartphone, j'espère qu'ils l'ajouteront aux 3310 et autres).

avatar fte | 

Je devrais aller regarder de près les détails qui me turlupinent, mais j’ai la flemme.

Je vous livre cependant l’une de mes interrogations.

- Comment est gérée la transmission des authentifications aux héritiers ?

avatar jmquidet | 

@fte

Suffit de couper, puis momifier l’index de la personne décédée…
Bon, pas frapper, je suis très loin…😜
👈🏻

avatar Mac1978 | 

Je suis d'accord.

C'est uniquement pour cela que je suis pour TouchID plus que pour FaceID. Conserver un doigt dans le formol, c'est plus facile que la tête...

OK. Je sors.

CONNEXION UTILISATEUR