Le plan de l'industrie pour se débarrasser des mots de passe
Doucement, mais sûrement, on se rapproche de la fin des mots de passe. L'alliance FIDO, qui regroupe de nombreux acteurs travaillant sur de nouvelles méthodes d'authentification, a présenté un concept qui sera selon elle le premier à être « en mesure de remplacer les mots de passe comme forme dominante d'authentification sur internet ».
L'association estime que si les clefs de sécurité physiques (comme les produits YubiKey) sont un pas en avant vers une démarche sécurisée et ne nécessitant pas de se souvenir d'une série de caractères, leur adoption par le grand public est limitée pour deux raisons. Premièrement, ce n'est pas vraiment pratique au quotidien pour l'utilisateur lambda. Deuxièmement, il reste nécessaire d'entrer son mot de passe dans certains cas, par exemple lorsqu'on se connecte sur un site depuis un nouvel appareil. Pour résoudre ce problème, l'alliance a une idée : utiliser le smartphone comme clef de sécurité.
Dans le cas de l’authentification à partir d’un Mac, il est plus probable que l’authentificator soit le Mac plutôt qu’un iPhone en Bluetooth..
On est pas toujours a portée de son Mac, comment on fait ?
@StephanM3
Aucune obligation d’avoir une seule machine permettant l’authentification… ça peut être le smartphone et le Mac
@doloris
"ça peut être le smartphone et le Mac"
Tant que ça reste chez Apple.
@fte
Non, les PC compatibles Windows Hello sont aussi acceptés
@doloris
"Non, les PC compatibles Windows Hello sont aussi acceptés"
Je sais. Ce n’est pas ce que je sous-entendais. Je sous-entendais que la solution qu’Apple proposera ne sera évidemment pas interopérable. Et si le DMA devait ne pas passer ou ne pas être adapté à ces circonstances, il y a fort à parier que les éditeurs voulant publier des apps sur iOS seront contraints d’utiliser la solution d’Apple, voire seront contraints à n’utiliser que la solution d’Apple ou, dans le meilleur des cas, pourront utiliser d’autres systèmes aussi tant qu’ils n’en parlent pas dans l’application.
Là c’est clair, c’est sans moi.
@StephanM3
Je ne saisis aucun mot de passe sur mes appareils. Face ID / Touch ID, pif paf pouf.
A l’exception du pc de boulot, mais là c’est comme 15 ans en arrière, le voyage dans le temps existe
@frankm
Enfin si, de temps en temps tous les appareils Apple demandent un mot de passe, et après redémarrage c'est même systématique.
@frankm
Certes, mais pour votre pif par pouf, il a bien fallu que vous le créiez ce mot de passe, tout de même…
Certains ne pourront plus dire qu'on leur a piraté leur compte et que le dernier propos tenue n'était pas d'eux… (excuse bidon point com)
FIDO ? Mouarf 🐶
Entre Mac et iPhone, l’app "Unlox" fonctionne très bien depuis janvier 2018…
https://apps.apple.com/fr/app/unlox/id1313188193
Voir aussi https://clubigen.fr/macg/article/107527 😜
@jmquidet
Oui mais seulement pour deverouiller le mac, on parle de plus là..,
Ce système supprime la gestion côté utilisateur mais pas du côté serveur. Or, pour moi, aujourd’hui, les vulnérabilités se situent plus du côté de ce dernier. Il ne se passe pas une journée sans qu’on attende parler d’une entreprise qui s’est fait pirater sa base de données utilisateur. Et comme, pour des raisons de compatibilité descendante, on pourra toujours se connecter en saisissant un mot de passe, ce système ne diminue que peu le risque de piratage.
@cricri13009
Ça dépend. Avec le trousseau iCloud c’est chiffrer de bout en bout 😉
@cricri13009
Donc au pire on reste pareil; au mieux on améliore…
En effet, avec FIDO c’est obligatoire une bi-clé par domaine (donc tous différents, un pour chaque site) et ce n’est pas le mot de passe qui est stocké côté serveur mais la clé publique qui par définition n’est pas secrète. Donc si elle fuite ce n’est pas un problème…
Il est temps. Dire que l'authentification par clefs asymétriques est parfaitement incluse dans tls (donc https) depuis que le protocole existe. S'ils veulent ajouter une couche de signature par la clef en Bluetooth via le téléphone (ou un appareil dédié pour ceux qui le souhaitent, même si ce sera probablement quand même un smartphone, j'espère qu'ils l'ajouteront aux 3310 et autres).
Je devrais aller regarder de près les détails qui me turlupinent, mais j’ai la flemme.
Je vous livre cependant l’une de mes interrogations.
- Comment est gérée la transmission des authentifications aux héritiers ?
@fte
Suffit de couper, puis momifier l’index de la personne décédée…
Bon, pas frapper, je suis très loin…😜
👈🏻
Je suis d'accord.
C'est uniquement pour cela que je suis pour TouchID plus que pour FaceID. Conserver un doigt dans le formol, c'est plus facile que la tête...
OK. Je sors.