Un répertoire de sites web compatibles avec Passkeys

Mickaël Bazoge |

Le monde dans lequel on n'a plus à jongler avec les mots de passe n'existe pas… encore. Avec les clés d'identification Passkeys, Apple s'emploie à implémenter le standard WebAuthn dans Safari (macOS Ventura et iOS 16). En un mot, avec ce système il suffit de saisir son identifiant dans un service en ligne, le mot de passe étant remplacé par un code d'accès enregistré dans le trousseau iCloud et synchronisé avec tous ses autres appareils.

Depuis son iPhone, il suffit de s'authentifier avec Touch ID ou Face ID ; depuis un navigateur web de bureau, il faut soit utiliser le Touch ID du clavier du Mac, soit scanner un code QR avec l'iPhone. Apple n'est pas seul dans cette aventure, Chrome aussi intègre ce système d'authentification sécurisé.

Passkeys : le futur sans mots de passe se conjugue au présent

Passkeys : le futur sans mots de passe se conjugue au présent

Les éditeurs de navigateurs web ne sont pas les seuls à devoir mettre la main à la pâte, les développeurs des sites web, des services en ligne et des apps doivent aussi implémenter cette solution. Par conséquent, on est encore très loin d'une adoption généralisée mais petit à petit, le chantier progresse. Et pour en rendre compte, AgileBits le créateur de 1Password a mis en place un répertoire des sites et apps compatibles Passkeys — à retrouver à cette adresse.

À l'heure actuelle, 28 adresses sont proposées, avec pour chacune des détails sur les options Passkeys : connexion avec une « clé de passe » et/ou support Passkey pour le deuxième facteur d'identification 2FA. Le portail n'attend que les contributions des internautes pour s'enrichir, car il y a certainement plus de sites web compatibles. Pour donner un exemple, Boursorama prend en charge les clés d'identification depuis novembre dernier et le site n'y apparait pas.

Tags
avatar R-APPLE-R | 

Pour la clé de sécurité, il en faut une pour chaque site web ? Parce que ça serait impossible sinon , donc comment cela fonctionne ? 😈

avatar Paquito06 | 

@R-APPLE-R

“Pour la clé de sécurité, il en faut une pour chaque site web ? Parce que ça serait impossible sinon , donc comment cela fonctionne ? 😈”

Juste une. C’est une clef d’authentification a deux facteurs que tu peux parametrer. Dispo sur amazon pour $20-$30. Certaines entreprises imposent d’en avoir une pour deverrouiller son ordi, l’utiliser comme SSO, etc. Ca supporte le NFC, mac/windows, etc.

avatar R-APPLE-R | 

@Paquito06

Merci de votre réponse, mais je connais les clés de sécurité Yubico par exemple, ma question c’était comment cela fonctionne ? Quelle sont les étapes etc.. 😈

avatar Paquito06 | 

@R-APPLE-R

Ah ben si tu connais yubikey, c’est pareil. T’en as bien qu’une, donc. Tu crees un code pin pour ta clef, t’ajoutes tes empreintes si dispo, tu vas sur n’importe quel site où c’est supporté (genre google), t’ajoutes une (voire plusieurs clefs), et c’est bon. C’est un password manager amelioré c’est tout, au lieu de tout sauvegarder dans le cloud ou avec une app, c’est sur une clef…

avatar R-APPLE-R | 

@Paquito06

Donc une clé suffit pour tout les sites, faudra que je me penche sur le fonctionnement, mais ça va prendre du temps avant que tout les sites l’adoptent.😈

avatar marc_os | 

Je vois que okta.com apparait dans la liste.
Dans ma boite, "on" utilise okta pour accéder à bitbucket, atlassian et aux services Google. (Oui, ils ont remplacé Microsoft par Google ! 🤪)
Une grosse merde (okta*). En général on doit s'authentifier plusieurs fois de suite, on peut être authentifié d'un côté mais pas de l'autre, etc.
Leur dernière trouvaille pour le 2FA, une clé usb qui génère des mots de passe quand on appuie sur un bouton (!) (et qui simule un clavier) dont je ne me rappelle plus le nom alors que via TouchID ça marchait bien**. Mais voilà, une bonne partie des employés du groupe sont sous Windows et ils veulent un même système pour tout le monde.
Je suis curieux de voir si Passkeys sera supporté et si ça va améliorer les choses...

(*) Ou alors se sont les gens chez nous qui ont implémenté/paramétré le beans qui sont incomlpétents.

(**) Avec TouchID seule la personne qui a entré son emprunte digitale dans le Mac peut se connecter, alors qu'avec cette clé, n'importe qui peut l'utiliser ! Donc si on la perd et qu'on ne s'en rend pas compte immédiatement... Naze. Ah ouais, ça permet de s'authentifier ailleur certainement. Sauf qu'en pratique chacun utilise uniquement l'ordi qui lui a été attribué et on ne se connecte pas depuis un autre ordi. Bref.

avatar tupui | 

@marc_os

La clés est un second facteur. Et il existe des clés biométriques si vous êtes vraiment sensible (dans le sens, votre profil de risque le nécessite).

avatar marc_os | 

@ tupui

> La clés est un second facteur

"Avant", le 2nd facteur c'était TouchID.
Depuis quelques temps, c'est désormais cette clé que n'importe qui peut utiliser.
Pour moi c'est une régression en termes de sécurité.

> il existe des clés biométriques

J'imagine que c'est plus cher, et je n'ai pas le choix.
En attendant, c'est le fabriquant de clés qui touche le jackpot.

avatar tupui | 

@marc_os

Sauf que la clé est utilisable sur tous les services et pas liée à Apple. Donc quand on change de Mac, pas de soucis.

avatar Paquito06 | 

@marc_os

“Je vois que okta.com apparait dans la liste.
Dans ma boite, "on" utilise okta pour accéder à bitbucket, atlassian et aux services Google. (Oui, ils ont remplacé Microsoft par Google ! 🤪)”

C’est tres sensible Okta, pour l’utiliser souvent. Faut pas avoir de probleme reseau (firewall, sso, vpn, redirection, etc.) de certificats ou autre sinon c’est la misere 😅 Mais quand ca marche, c’est bien (c’est pas hyper rapide non plus donc c’est pas excellent).

avatar Derw | 

@Paquito06

« Faut pas avoir de probleme reseau (firewall, sso, vpn, redirection, etc.) de certificats ou autre sinon c’est la misere »

En tant que « dev itinérant », je n’ai jamais vu une grosse boîte pas concernée par tout ça. Du coup…

avatar Paquito06 | 

@Derw

“« Faut pas avoir de probleme reseau (firewall, sso, vpn, redirection, etc.) de certificats ou autre sinon c’est la misere »
En tant que « dev itinérant », je n’ai jamais vu une grosse boîte pas concernée par tout ça. Du coup…”

Et oui ca arrive tout le temps 😫

avatar MarcassinBimbo | 

@MickaelBazoge
pour Boursorama, c’était bien avant novembre. Je vient de vérifier et ma clé date du 05/07/22 par exemple. C’est donc actif au minimum depuis début juillet chez eux 😉

avatar Mickaël Bazoge | 
Ah ! On était tombé dessus un peu par hasard en novembre, alors du coup. Ils ont été rapides !
avatar Almux | 

Encore une "solution miracle" passant par iCloud 🙄

avatar grgsim | 

L’équipe de MacG à l’air emballée par ce nouveau système au vu de tous les articles qui sont publiés sur les passkeys (qui ne l’est pas ?!). À quand la prise en charge pour se connecter à vos sites/au club ? Ça pourrait également faire l’objet d’un article sympa qui explique plus ou moins en détail comment ça se passe d’un point de vu dev pour supporter ce nouveau standard !

avatar YuYu | 

@grgsim

Ah oui ça serai top !

avatar ratz | 

Mais si on a pas diphone on fait comment ?

avatar ptous | 

@ratz
... on en achète un 😂😜🤪

avatar Adodane | 

Niveau sécurité, ça apporte quoi de plus par rapport à la double authentification via une application génératrice de codes ?

avatar GRAILLE Alain | 

D'accord il y aura un site qui mémorisera les mots de passe en les remplaçant par un code. Mais qui nous dit aujourd'hui que dans le futur ce site ne sera pas piraté ? Car en informatique rien n'est sûr et il suffit d'un pirate malicieux pour foutre toute sécurité en l'air et là personne ne sera protégé ! L'appât du gain n'arrête pas le piratage des données informatiques. Comment être sûr de ce système maintenant et après ?

CONNEXION UTILISATEUR