Les passkeys nous font-ils perdre le contrôle sur nos méthodes de connexion ?
Depuis leur annonce en 2021, les passkeys sont présentés comme une révolution dans le domaine de l'authentification en ligne. Poussées par Apple, Google et Microsoft, ces clés d'identification sont plus sécurisées et plus simples à utiliser que les mots de passe avec lesquels on doit composer depuis trop longtemps. Mais à mesure qu'elles se concrétisent — une étape importante a été franchie avec leur prise en charge pour les comptes Google —, une question devient de plus en plus prégnante : les passkeys ne nous feraient-ils pas perdre le contrôle sur nos méthodes de connexion ?
C'est une crainte que le développeur Jeff Johnson expose sur son blog. Premiers points reprochés : les passkeys sont assez opaques et, dans l'écosystème Apple, dépendent d'iCloud pour le stockage et la synchronisation. Concrètement, à l'heure actuelle, vous ne pouvez pas les examiner complètement et les possibilités de partage sont très limitées. Sur iOS et macOS (vous les trouvez dans Réglages > Mots de passe), vous pouvez seulement les exporter par le biais d'AirDrop pour les envoyer sur un autre appareil Apple.
Perso cela ne me dérange pas qu’il n’y ait pas de passerelle ça évite à un malandrin de récupérer les codes par de simples envois-réception .
Pour Apple c’est cohérent avec leur ligne directrice : éco système fermé avec un but de ne pas laisser partir l’utilisateur ailleurs .
Celui qui voit dans les passerelles un danger se trompe un peu. La logique serait d'avoir, pour un même site, une passkey différente par appareil. Ainsi, pas de passerelle, et un process transparent pour l'utilisateur.
Idem pour moi : je ne vois pas le problème.
Si on change de crémerie, on va créer un nouveau PassKey... Je trouve un peu pénible cette manie de voir systématiquement le verre à moitié vide et réclamer sans cesse l'usine à gaz parfaite !
@Malouin
D’autant que les passkeys peuvent s’utiliser en // d’un compte avec des identifiants classiques non ? La passkey se génère instantanément par une simple validation biométrique.
@primeweb
Tu as raison… C’est critiquer pour critiquer.
@primeweb
D’accord mais c’est quoi l’idée d’avoir une porte blindée (passkeys) si la fenêtre à côté est ouverte ( mot de passe). Il y a un truc qui m’échappe avec ces passkeys en parallèle des mots de passe
@Tomtomrider
Alors je n'ai pas d'explication technique, mais comme c'est comme avec un compte Google ou Microsoft : vous pouvez utiliser différent types de connexion à plusieurs facteurs. Généralement on privilégie la plus sécurisée : ici la Passkey (elle ne transmet pas de mots de passe), mais en cas de besoin on peut quand même utiliser une méthode moins sécurisée ponctuellement. Un peu comme la double authentification pour la banque qui doit normalement se faire dans l'app car elle est plus sécurisée qu'un SMS, mais qui peut être néanmoins faite par SMS sur demande explicite de l'utilisateur
@primeweb
J’entend bien, mais s’il y a plusieurs moyens de connexion pour un seul compte alors le niveau de sécurité maximale est celui du moyen le moins sécurisé. A quoi bon avoir un passkey si votre mdp se retrouve sur le dark web et qu’il ouvre la même porte qu’un passkey
L'interopérabilité devrait être plus facile en passant par un gestionnaire de mots de passe multi plateforme qui les gère(ra). Mais je préfère attendre que ça soit généralisé, avant de commencer à utiliser ce système… ça m'a l'air prometteur, mais encore un peu balbutiant quand on navigue entre plusieurs appareils et plusieurs écosystèmes.
J’en suis toujours à un mot de passe à 11 caractères identique à tous mes sites, sauf quelques caractères qui changent selon le site où je me connecte.
Par exemple pour une banque cela va donner BAnqxxxxxxx.
Safari m’ayant fait très peur une fois j’ai décidé de ne faire confiance qu’à moi en ce qui concerne mes mots de passe
@Powerdom
Le gros risque de cette technique est que si un mot de passe fuite en clair, tous sont exposés
@turismo
oui
et sa règle de juste mettre lettres selon le site est un truc classique que tout logiciel qui a intégré un peu d'études statistiques des mots de passe va tester automatiquement.
je me méfierais d'utiliser une moindre logique dans des mots de passe.
@Powerdom
Personnellement j’utilise le système d’iOS qui permet de générer des mots de passe forts 🙂.
Le truc amusant, c’est que ce qui constitue la force d’un mot de passe est avant tout son côté vraiment aléatoire. Hors le générateur d’Apple repose systématiquement sur le même schéma :
« 6 caractères / 1 tiret / 6 caractères / 1 tiret / 6 caractères ».
Alors en effet ça fait quand même un mot de passe de 20 caractères (mais dont 2 sont directement connus déjà 😅) … mais c’est amusant de voir sur Apple suit constamment cette structure plutôt que de simplement générer un mot de passe totalement aléatoire de 20 caractères 🙂.
@cecile_aelita
Il est totalement aléatoire, sauf les tirets, pour faciliter la recopie d’un mot de passe à la main en cas de besoin. Six caractères, c’est à peu près ce qu’on est capable de mémoriser.
@DahuLArthropode
Les tirets serait là pour aider à la mémorisation?
Mouais… vu la difficulté du mot de passe… je ne pense pas que le but soit de le mémoriser 🫤, mais plutôt de laisser iOS s’en charger pour nous 🙂
@cecile_aelita
Le mémoriser, non: juste le recopier (sur un site sur un PC par exemple si tu en as besoin, plus généralement depuis le trousseau vers un autre appareil). Tu peux mémoriser 6 caractères d’un coup dans ta mémoire immédiate... puis l’oublier!
@DahuLArthropode
Peut être en effet. J’avoue que je n’ai jamais eu cet usage 🙂.
Mais en effet pourquoi pas 🙂
@DahuLArthropode
« Tu peux mémoriser 6 caractères d’un coup dans ta mémoire immédiate... puis l’oublier! »
En moyenne, un peu plus ( l’empan mnésique moyen est de 7), et on parle plutôt de la mémoire de travail.
Mais l’idée est là ;)
Le fait de regrouper l’information en deux blocs distincts permet d’augmenter cet empan, à 8 en moyenne, et c’est la fonction des tirets.
C’est comme dire que ne pas maîtriser l’accès tcp/ip nous fait perdre le sens de la sécurité.
Quand à ne pas pouvoir transférer, je ne vois pas trop le problème. C’est quand même très régulièrement que nous devons réinitialiser nos mots de passe. Il suffit qu’il y ait une option pour révoquer ou non les autres accès. Bref, beaucoup de faux problèmes.
@Nesus
Si la sécurité est basé sur l'ignorance de ses mécanismes cette sécurité sera inutile au moment où ses mécanismes seront découverts, et ils le seront. C'est à nouveau l'histoire des DRM mis en place pour rassurer les maisons de productions et qui se sont effondrés au premier stagiaire qui a fait fuiter le code source. Le principe de cryptographie c'est que même en connaissant exactement le fonctionnement on ne peux pas casser le code pour autant. Je pense que c'est un bon système, c'est le bon vieux clé publique, clé privée qui marche depuis (presque) toujours. Mais du coup déléguer à 100% la gestion des clés privés à Google Apple ou autre sans aucune visibilité ça apporte certes un confort d'utilisation et un gain de sécurité pour les néophytes mais un risque majeur en cas de faille, surtout si ce système venait à devenir incontournable.
@lolcubz
C’est une façon de voir les choses que je comprends, toutefois elle est fausse. Très peu de monde comprend comment fonctionne https, ça n’empêche pas les gens d’utiliser internet.
Vu les convictions et la maîtrise technique de Ricky Mondello et son équipe, je ne suis franchement pas inquiet. Ça va évoluer dans le bon sens.
@FloMo
Vous voulez dire par là que c’est quelqu’un de compétent ?
Quelqu’un de compétent chez Apple 😳… vous dites ça dans la section commentaire …. A la vue de tous …. 😳…
Là je dis « respect »😅!
@cecile_aelita
Il y a des gens extrêmement talentueux chez Apple. Et Ricky en fait partie. Aucun doute là-dessus. 😁
@FloMo
Évidement ! Mais de là à le dire en public 😳… les gens préfèrent lire des trucs du genre « Apple c’est de la mer*de » etc 😅!
Il ne va pas être bien apprécié votre commentaire 😅.
@cecile_aelita
Faut pas généraliser, Cécile. Il y a aussi des gens qui prennent du recul, même ici !
@bozzo
Évidement … il y a toujours une petite minorité de gens qui savent écrire un commentaire sans insulter … mais elle devient vraiment infime 🫤.
@cecile_aelita
Je lis régulièrement les commentaires ici et je ne vois pas d'insultes.
@Arnaudvietnam
Et pourtant !
Dernière phrase :
https://www.dropbox.com/s/r4pvz2526evhu4p/Capture%20d%E2%80%99%C3%A9cran%202023-04-13%20%C3%A0%2017.25.36.png?dl=0
Ou la :
https://www.dropbox.com/s/zkmcnj7fmn2gkug/Photo%2021-02-2023%2023%2033%2055.jpg?dl=0
Ici
https://www.dropbox.com/s/d0vg647if99n7ke/Samsung%20n%27y%20va%20pas%20de%20main%20morte%20avec%20le%20poids%20d%27Android%20sur%20ses%C2%A0S23.png?dl=0
Ou encore
https://www.dropbox.com/s/8on8raqz29inhmc/Bourse%20%20AAPL%20repasse%20sous%20le%20seuil%20des%202%C2%A0000%20milliards%20de%20dollars.png?dl=0
Mon préféré !!
https://www.dropbox.com/s/0symw4e7wqxx88y/Seul%20le%20macOS%20le%20plus%20r%C3%A9cent%20recevra%20l%27int%C3%A9gralit%C3%A9%20des%20correctifs%20de%20failles%20de%20s%C3%A9curit%C3%A9.png?dl=0
Et je n’en ai gardé que quelques un et uniquement ceux qui me concernent, mais la liste est beaucoup beaucoup beaucoup beaucoup plus longue 🙂!
Le soucis n’est pas dans le message de ces gens. Souvent il peut y avoir du fond dans leur commentaires (pas tous évidement … suffit de regarder 99% des commentaires de trollman06). Le soucis c’est qu’il n’y a aucune « forme »… et comme on vit une époque où les gens sont persuadé qu’un message qui a de la forme est plus important qu’un message qui a de la forme … bah ça ne va pas aider 🙂.
@cecile_aelita
Ah oui quand même ! C’est vrai que je ne vois pas si souvent d’insultes mais votre florilège est édifiant... Ces gens ne savent dans doute pas qu’il y a la fonction « masquer ». Je l’utilise avec ceux qui me fatiguent ou trollent. Ça ne les impacte en rien et tout le monde est content. Auriez-vous les mêmes remarques si vous signiez « Bernard » ? Cet ouvrage tend à laisser penser que non : https://www.grasset.fr/livres/technofeminisme-9782246828822
@primeweb
Et encore ce n’est que quelques captures que j’ai faite !
Si je devais tous les garder mais il m’en faudrait un disque dur plein lol!😅
Toutes ces sangsues qui font des thunes en utilisant des algorithmes créés par d'autres et dans le domaine public depuis longtemps (ECDSA et RSA) c'est vraiment de l'arnaque organisée. Au lieu d'utiliser des éléments simples (par exemple l'attribut keygen en html, rendu obsolète par la W3C par incompétence) ils ont fait un spec compliquée et verrouillé les API les concernant.
On sera obligé, de passer par iCloud, on ne pourra pas utiliser une autre adresse mail ?
Bonjour, est ce que quelqu’un aurait un lien vers un tri le qui explique en quoi passkeys est plus sécuritaire qu’un mot de passe stocké sur 1Password par exemple?
@romain31000
C'est parce que le mot de passe ne transite pas de l'appareil client jusqu'au serveur. Il y a un couple clé publique et clé privée, mais cette dernière reste sur l'appareil client et n'est pas utilisable sans l'autre.
@romain31000
La section du site de 1Password dédiée aux passkeys l’explique :
https://www.future.1password.com/passkeys/
Pour me connecter à YouTube avec Passkeys de Google sur mon iPhone il m’affiche un QR code a scanner avec un autre appareil ou se trouverait la passkey, mais je n’ai qu’un seul iPhone. Bref j’ai pas compris qqch.