Les clés d’accès – ou « passkeys » - sont un moyen de se débarrasser des mots de passe. Elles ont été créées par un regroupement de grosses entreprises de la tech. Avant de plonger dans plusieurs scénarios pratiques dans un prochain article, nous allons d’abord nous pencher sur leur fonctionnement.
Les mots de passe ont fait leur temps. De multiples entreprises, de sécurité ou non, le disent depuis des années. Les recommandations de l’ANSSI ont évolué elles aussi, pour suivre les problèmes de sécurité liés aux mots de passe. Et ils sont nombreux.
Actuellement, on considère qu’un mot de passe est fort s’il contient au moins douze caractères mélangeant des majuscules, minuscules, chiffres et caractères spéciaux. Il ne doit incorporer aucune information évidente, comme un prénom, une date de naissance, le nom d’un animal domestique, etc. Il ne doit plus contenir aucun mot présent dans le dictionnaire.
L’alternative est la phrase de passe : une séquence de quatre ou cinq mots, liés par des caractères spéciaux (souvent des tirets). Ces mots peuvent être issus du dictionnaire et constituer une courte phrase, d’où leur nom. Il s’agit actuellement de la recommandation principale de l’ANSSI et de la CNIL. En effet, en dépit de l’usage de mots existants, c’est la taille de la phrase qui fait sa force.
Il manque une recommandation cruciale : ne jamais réutiliser les mots de passe. Idéalement, il faut que les mots ou phrases de passe soient aléatoires. Il faut également que chaque site ou service ait son propre mot de passe. Le danger, sinon, est connu : puisque l’adresse email sert souvent d’identifiant, la récupération des deux – par exemple, lors d’une fuite de données chez un prestataire – permet leur réutilisation sur d’autres services.
Les gestionnaires de mots de passe, une avancée…
Les gestionnaires de mots de passe permettent de simplifier largement la gestion des mots et phrases de passe. Ils peuvent créer des séquences aléatoires de caractères ou de mots. Des options autorisent une grande finesse dans cette génération, comme le nombre et le type de caractères. Plus la taille est importante, meilleur est le mot de passe.
Il y a trois écoles parmi les gestionnaires. Premièrement, les solutions synchronisées comme LastPass, Dashlane, BitWarden et autres. Avantage : les identifiants vous suivent partout, sur tous les appareils. Intégrant des extensions pour les navigateurs et proposant des applications mobiles, on peut les utiliser dès que l’on en a besoin. Il y a deux inconvénients principaux. D’abord, il faudra créer un mot de passe protégeant le compte. Il doit être assez fort pour protéger efficacement l’accès à ce compte, particulièrement précieux. Ensuite, le service peut être victime d’une fuite. Auquel cas, si l’entreprise concernée n’a pas bien fait son travail, vos données peuvent se retrouver dans la nature. Les mésaventures de LastPass ont rappelé brutalement la réalité.
Deuxièmement, les gestionnaires intégrés aux navigateurs. Qu’il s’agisse d’Apple, Google ou encore de Microsoft, tous proposent un gestionnaire intégré. Dans le cas d’Apple, il s’agit du Trousseau, présent dans macOS depuis bien longtemps. Gros avantage de ces solutions : elles sont totalement intégrées. Si vous n’utilisez que le même navigateur partout, vos données vous suivent. Inconvénient, tout est beaucoup moins pratique dès que vous utilisez un ensemble hétérogène d’appareils. En outre, leur interface de consultation est souvent moins pratique qu’un gestionnaire dédié.
Enfin, les gestionnaires « simples ». On parle cette fois d’une petite application locale et non synchronisée. Le plus connu est KeePass (et sa variante KeePassXC). Il y a plusieurs avantages, dont l’hébergement local des données. Pas besoin de faire confiance à une entreprise quelconque. En outre, ces logiciels proposent souvent des fonctions très poussées pour la génération des mots de passe, afin d’augmenter l’entropie. Inconvénient majeur : leur récupération depuis d’autres appareils est moins aisée, car il faut alors s’occuper soi-même de la récupération des informations.
… mais une mesure minimale désormais
Un gestionnaire de mots de passe est aujourd’hui une mesure minimale. À moins d’une mémoire eidétique, il est impossible de retenir de nombreux mots de passe forts et uniques. Le gestionnaire résout ainsi les deux problèmes que sont les mots de passe unique et leur mémorisation.
Cependant, il ne peut rien faire contre les accidents survenant chez les prestataires de services. Une fuite de données et tout peut arriver. C’est pour cela que l’ANSSI et bien d’autres acteurs poussent vers l’authentification à facteurs multiples.
Nous avons abordé le sujet en avril, quand la CNIL a évoqué une future recommandation. Le principe est simple : toujours associer deux facteurs parmi trois : connaissance, possession et inhérence.
Le plus souvent, il s’agit d’un code à six chiffres envoyé par SMS, email ou généré par une application. On doit donner ce code, en plus du mot de passe, pour pouvoir se connecter. Le code arrivant sur le smartphone, il permet de bloquer en théorie toutes les tentatives d’accès si le mot de passe est trouvé ou dérobé par un tiers. Comme nous l’avons vu cependant, cette protection est certes efficace, mais pas absolue.
Les clés d’accès, nées d’un besoin
La protection des accès aux données fait depuis longtemps l’objet de travaux. La biométrie a notamment renforcé cette protection, tout en simplifiant l’usage. Elle ne se substitue jamais cependant au mot de passe. Il reste disponible dans le cas où, par exemple, le capteur d’empreinte digitale ne fonctionnerait plus.
Pour franchir un pas significatif, plusieurs grosses sociétés américaines veulent se débarrasser des mots de passe. Apple, Google et Microsoft notamment, dont les travaux communs ont été chapeautés par la FIDO Alliance, qui émet des standards ouverts sur les mécanismes de vérification d’identité. Ce consortium cherchait une solution aux problèmes récurrents des mots de passe et a accouché des fameuses clés d’accès.
Qu’est-ce qu’une clé d’accès ?
Abonnez-vous pour tout dévorer et ne rien manquer.
Déjà abonné ? Se connecter
Commentaires (50)
#1
Les banques qui imposent 8 (Boursorama) voire 6 chiffres (Crédit agricole) sont donc considérées comme non sécurisées ?
J'ai toujours trouvé idiot de limiter les caractères disponibles à des chiffres. Cela incite à mettre une date de naissance (de enfants, du mariage, etc.) ce qui est assez simple à deviner.
#1.1
#1.2
Trêve de plaisanterie, la sécurité dans les banques ne repose pas que sur un code à 6 chiffres, et en général 3 ou 4 tentatives infructueuses bloquent l'accès au compte toute une journée. Ca réduit pas mal le risque de brute force et le risque d'être "deviné". On peut aussi regarder les heures habituelles de connexion, la localisation (probable) avec l'adresse IP, le comportement sur l'interface et plein d'autres mesures pour évaluer le risque...
Car je le répèterai longtemps : dire qu'un système est sécurisé n'a pas de sens, en général. En réalité, on gère un risque (ou des risques). D'ailleurs, si Seb me lit, j'ai fait un petit article sur ce sujet. Ainsi, pour la consultation des comptes, on tolère un code "simple" mais pour des opérations sensibles, on impose un second facteur (SMS, application mobile "scellée" au smartphone, passkey...).
Pour revenir sur l'histoire du code à 6 chiffres, le risque le plus important pour une banque est généralement le phishing. Or dans une telle attaque, l'utilisateur donne tous ses identifiants, qu'ils soient courts ou long. Que le mot de passe soit simple ou complexe ne change rien au problème. C'est d'ailleurs un des grands intérêts des passkeys : donner la possibilité de réaliser "facilement" une authentification à deux facteurs, où la connaissance du code ne suffit pas à la connexion.
Petite histoire du mot de passe
Historique des modifications :
Posté le 07/06/2024 à 19h25
En général, les banques interdisent les combinaisons "simples" comme la date de naissance de l'utilisateur. Pour les autres dates, tout dépend de combien tu as d'enfants, combien de fois tu t'es marié, etc. Donc laquelle le pirate doit-il prendre ?
Trêve de plaisanterie, la sécurité dans les banques ne repose pas que sur un code à 6 chiffres, et en général 3 ou 4 tentatives infructueuses bloquent l'accès au compte toute une journée. Ca réduit pas mal le risque de brute force et le risque d'être "deviné". On peut aussi regarder les heures habituelles de connexion, la localisation (probable) avec l'adresse IP, le comportement sur l'interface et plein d'autres mesures pour évaluer le risque...
Car je le répèterai longtemps : dire qu'un système est sécurisé n'a pas de sens, en général. En réalité, on gère un risque (ou des risques). [note à la rédac']D'ailleurs, si Seb me lit, j'ai fait un petit article sur ce sujet.[/note à la rédac'] Ainsi, pour la consultation des comptes, on tolère un code "simple" mais pour des opérations sensibles, on impose un second facteur (SMS, application mobile "scellée" au smartphone, passkey...).
Pour revenir sur l'histoire du code à 6 chiffres, le risque le plus important pour une banque est généralement le phishing. Or dans une telle attaque, l'utilisateur donne tous ses identifiants, qu'ils soient courts ou long. Que le mot de passe soit simple ou complexe ne change rien au problème. C'est d'ailleurs un des grands intérêts des passkeys : donner la possibilité de réaliser "facilement" une authentification à deux facteurs, où la connaissance du code ne suffit pas à la connexion.
https://next.ink/5480/la-petite-histoire-mot-passe/
Posté le 07/06/2024 à 19h25
En général, les banques interdisent les combinaisons "simples" comme la date de naissance de l'utilisateur. Pour les autres dates, tout dépend de combien tu as d'enfants, combien de fois tu t'es marié, etc. Donc laquelle le pirate doit-il prendre ?
Trêve de plaisanterie, la sécurité dans les banques ne repose pas que sur un code à 6 chiffres, et en général 3 ou 4 tentatives infructueuses bloquent l'accès au compte toute une journée. Ca réduit pas mal le risque de brute force et le risque d'être "deviné". On peut aussi regarder les heures habituelles de connexion, la localisation (probable) avec l'adresse IP, le comportement sur l'interface et plein d'autres mesures pour évaluer le risque...
Car je le répèterai longtemps : dire qu'un système est sécurisé n'a pas de sens, en général. En réalité, on gère un risque (ou des risques). [note à la rédac']D'ailleurs, si Seb me lit, j'ai fait un petit article sur ce sujet.[/note à la rédac'] Ainsi, pour la consultation des comptes, on tolère un code "simple" mais pour des opérations sensibles, on impose un second facteur (SMS, application mobile "scellée" au smartphone, passkey...).
Pour revenir sur l'histoire du code à 6 chiffres, le risque le plus important pour une banque est généralement le phishing. Or dans une telle attaque, l'utilisateur donne tous ses identifiants, qu'ils soient courts ou long. Que le mot de passe soit simple ou complexe ne change rien au problème. C'est d'ailleurs un des grands intérêts des passkeys : donner la possibilité de réaliser "facilement" une authentification à deux facteurs, où la connaissance du code ne suffit pas à la connexion.
https://next.ink/5480/la-petite-histoire-mot-passe/
Posté le 07/06/2024 à 19h25
En général, les banques interdisent les combinaisons "simples" comme la date de naissance de l'utilisateur. Pour les autres dates, tout dépend de combien tu as d'enfants, combien de fois tu t'es marié, etc. Donc laquelle le pirate doit-il prendre ?
Trêve de plaisanterie, la sécurité dans les banques ne repose pas que sur un code à 6 chiffres, et en général 3 ou 4 tentatives infructueuses bloquent l'accès au compte toute une journée. Ca réduit pas mal le risque de brute force et le risque d'être "deviné". On peut aussi regarder les heures habituelles de connexion, la localisation (probable) avec l'adresse IP, le comportement sur l'interface et plein d'autres mesures pour évaluer le risque...
Car je le répèterai longtemps : dire qu'un système est sécurisé n'a pas de sens, en général. En réalité, on gère un risque (ou des risques). [note à la rédac']D'ailleurs, si Seb me lit, j'ai fait un petit article sur ce sujet.[/note à la rédac'] Ainsi, pour la consultation des comptes, on tolère un code "simple" mais pour des opérations sensibles, on impose un second facteur (SMS, application mobile "scellée" au smartphone, passkey...).
Pour revenir sur l'histoire du code à 6 chiffres, le risque le plus important pour une banque est généralement le phishing. Or dans une telle attaque, l'utilisateur donne tous ses identifiants, qu'ils soient courts ou long. Que le mot de passe soit simple ou complexe ne change rien au problème. C'est d'ailleurs un des grands intérêts des passkeys : donner la possibilité de réaliser "facilement" une authentification à deux facteurs, où la connaissance du code ne suffit pas à la connexion.
https://next.ink/5480/la-petite-histoire-mot-passe/
Posté le 07/06/2024 à 19h25
En général, les banques interdisent les combinaisons "simples" comme la date de naissance de l'utilisateur. Pour les autres dates, tout dépend de combien tu as d'enfants, combien de fois tu t'es marié, etc. Donc laquelle le pirate doit-il prendre ?
Trêve de plaisanterie, la sécurité dans les banques ne repose pas que sur un code à 6 chiffres, et en général 3 ou 4 tentatives infructueuses bloquent l'accès au compte toute une journée. Ca réduit pas mal le risque de brute force et le risque d'être "deviné". On peut aussi regarder les heures habituelles de connexion, la localisation (probable) avec l'adresse IP, le comportement sur l'interface et plein d'autres mesures pour évaluer le risque...
Car je le répèterai longtemps : dire qu'un système est sécurisé n'a pas de sens, en général. En réalité, on gère un risque (ou des risques). note à la rédac']D'ailleurs, si Seb me lit, j'ai fait un petit article sur ce sujet.[/note à la rédac'] Ainsi, pour la consultation des comptes, on tolère un code "simple" mais pour des opérations sensibles, on impose un second facteur (SMS, application mobile "scellée" au smartphone, passkey...).
Pour revenir sur l'histoire du code à 6 chiffres, le risque le plus important pour une banque est généralement le phishing. Or dans une telle attaque, l'utilisateur donne tous ses identifiants, qu'ils soient courts ou long. Que le mot de passe soit simple ou complexe ne change rien au problème. C'est d'ailleurs un des grands intérêts des passkeys : donner la possibilité de réaliser "facilement" une authentification à deux facteurs, où la connaissance du code ne suffit pas à la connexion.
[Petite histoire du mot de passe
Posté le 07/06/2024 à 19h28
En général, les banques interdisent les combinaisons "simples" comme la date de naissance de l'utilisateur. Pour les autres dates, tout dépend de combien tu as d'enfants, combien de fois tu t'es marié, etc. Donc laquelle le pirate doit-il prendre ?
Trêve de plaisanterie, la sécurité dans les banques ne repose pas que sur un code à 6 chiffres, et en général 3 ou 4 tentatives infructueuses bloquent l'accès au compte toute une journée. Ca réduit pas mal le risque de brute force et le risque d'être "deviné". On peut aussi regarder les heures habituelles de connexion, la localisation (probable) avec l'adresse IP, le comportement sur l'interface et plein d'autres mesures pour évaluer le risque...
Car je le répèterai longtemps : dire qu'un système est sécurisé n'a pas de sens, en général. En réalité, on gère un risque (ou des risques). note à la rédac']D'ailleurs, si Seb me lit, j'ai fait un petit article sur ce sujet.[/note à la rédac'] Ainsi, pour la consultation des comptes, on tolère un code "simple" mais pour des opérations sensibles, on impose un second facteur (SMS, application mobile "scellée" au smartphone, passkey...).
Pour revenir sur l'histoire du code à 6 chiffres, le risque le plus important pour une banque est généralement le phishing. Or dans une telle attaque, l'utilisateur donne tous ses identifiants, qu'ils soient courts ou long. Que le mot de passe soit simple ou complexe ne change rien au problème. C'est d'ailleurs un des grands intérêts des passkeys : donner la possibilité de réaliser "facilement" une authentification à deux facteurs, où la connaissance du code ne suffit pas à la connexion.
[Petite histoire du mot de passe
Posté le 07/06/2024 à 19h28
En général, les banques interdisent les combinaisons "simples" comme la date de naissance de l'utilisateur. Pour les autres dates, tout dépend de combien tu as d'enfants, combien de fois tu t'es marié, etc. Donc laquelle le pirate doit-il prendre ?
Trêve de plaisanterie, la sécurité dans les banques ne repose pas que sur un code à 6 chiffres, et en général 3 ou 4 tentatives infructueuses bloquent l'accès au compte toute une journée. Ca réduit pas mal le risque de brute force et le risque d'être "deviné". On peut aussi regarder les heures habituelles de connexion, la localisation (probable) avec l'adresse IP, le comportement sur l'interface et plein d'autres mesures pour évaluer le risque...
Car je le répèterai longtemps : dire qu'un système est sécurisé n'a pas de sens, en général. En réalité, on gère un risque (ou des risques). note à la rédac']D'ailleurs, si Seb me lit, j'ai fait un petit article sur ce sujet.[/note à la rédac'] Ainsi, pour la consultation des comptes, on tolère un code "simple" mais pour des opérations sensibles, on impose un second facteur (SMS, application mobile "scellée" au smartphone, passkey...).
Pour revenir sur l'histoire du code à 6 chiffres, le risque le plus important pour une banque est généralement le phishing. Or dans une telle attaque, l'utilisateur donne tous ses identifiants, qu'ils soient courts ou long. Que le mot de passe soit simple ou complexe ne change rien au problème. C'est d'ailleurs un des grands intérêts des passkeys : donner la possibilité de réaliser "facilement" une authentification à deux facteurs, où la connaissance du code ne suffit pas à la connexion.
[Petite histoire du mot de passe
Posté le 07/06/2024 à 19h28
En général, les banques interdisent les combinaisons "simples" comme la date de naissance de l'utilisateur. Pour les autres dates, tout dépend de combien tu as d'enfants, combien de fois tu t'es marié, etc. Donc laquelle le pirate doit-il prendre ?
Trêve de plaisanterie, la sécurité dans les banques ne repose pas que sur un code à 6 chiffres, et en général 3 ou 4 tentatives infructueuses bloquent l'accès au compte toute une journée. Ca réduit pas mal le risque de brute force et le risque d'être "deviné". On peut aussi regarder les heures habituelles de connexion, la localisation (probable) avec l'adresse IP, le comportement sur l'interface et plein d'autres mesures pour évaluer le risque...
Car je le répèterai longtemps : dire qu'un système est sécurisé n'a pas de sens, en général. En réalité, on gère un risque (ou des risques). note à la rédac]D'ailleurs, si Seb me lit, j'ai fait un petit article sur ce sujet.[/note à la rédac'] Ainsi, pour la consultation des comptes, on tolère un code "simple" mais pour des opérations sensibles, on impose un second facteur (SMS, application mobile "scellée" au smartphone, passkey...).
Pour revenir sur l'histoire du code à 6 chiffres, le risque le plus important pour une banque est généralement le phishing. Or dans une telle attaque, l'utilisateur donne tous ses identifiants, qu'ils soient courts ou long. Que le mot de passe soit simple ou complexe ne change rien au problème. C'est d'ailleurs un des grands intérêts des passkeys : donner la possibilité de réaliser "facilement" une authentification à deux facteurs, où la connaissance du code ne suffit pas à la connexion.
[Petite histoire du mot de passe
Posté le 07/06/2024 à 19h30
En général, les banques interdisent les combinaisons "simples" comme la date de naissance de l'utilisateur. Pour les autres dates, tout dépend de combien tu as d'enfants, combien de fois tu t'es marié, etc. Donc laquelle le pirate doit-il prendre ?
Trêve de plaisanterie, la sécurité dans les banques ne repose pas que sur un code à 6 chiffres, et en général 3 ou 4 tentatives infructueuses bloquent l'accès au compte toute une journée. Ca réduit pas mal le risque de brute force et le risque d'être "deviné". On peut aussi regarder les heures habituelles de connexion, la localisation (probable) avec l'adresse IP, le comportement sur l'interface et plein d'autres mesures pour évaluer le risque...
Car je le répèterai longtemps : dire qu'un système est sécurisé n'a pas de sens, en général. En réalité, on gère un risque (ou des risques). note à la rédac]D'ailleurs, si Seb me lit, j'ai fait un petit article sur ce sujet.[/note à la rédac'] Ainsi, pour la consultation des comptes, on tolère un code "simple" mais pour des opérations sensibles, on impose un second facteur (SMS, application mobile "scellée" au smartphone, passkey...).
Pour revenir sur l'histoire du code à 6 chiffres, le risque le plus important pour une banque est généralement le phishing. Or dans une telle attaque, l'utilisateur donne tous ses identifiants, qu'ils soient courts ou long. Que le mot de passe soit simple ou complexe ne change rien au problème. C'est d'ailleurs un des grands intérêts des passkeys : donner la possibilité de réaliser "facilement" une authentification à deux facteurs, où la connaissance du code ne suffit pas à la connexion.
[Petite histoire du mot de passe
#1.7
#1.9
#1.3
#1.4
Historique des modifications :
Posté le 07/06/2024 à 19h32
Exactement : ça évite les keyloggers, mais pas le phishing. La meilleure arme contre le phishing est le second facteur.
#1.5
Le keylogger que j'utilisais pour avoir plus de crédits d'impression au CDI de mon lycée en 1999 était capable d'envoyer des captures d'écran à chaque clic de souris.
Les claviers aléatoires n'ont aucun argument solide. Ils évitent à la limite l'espionnage par écoute des entrées clavier, mais le modèle de ce genre de menace est très limitée.
#1.8
#1.10
#1.6
Alors que si tu peux utiliser le pavé numérique, c'est beaucoup trop discret, ce n'est plus du partage, limite égoïste.
#2
S'il y a un piratage d'un service, je n'ai qu'à le remplacer en une minute, et s'il faut vraiment augmenter la sécurité alors j'ai un plugin TOTP pour Keepass.
Je crains le jour où les mots de passe ne seront plus possibles car c'est niet pour moi.
#2.1
#2.2
#2.3
Pareil. J'utilise déjà mon ordiphone pour s'authentifier en OTP, j'ai peur d'un raté dans mes backups le jour où le paume ou qu'il décède. Mais en faire l'unique point d'accès à tous mes comptes, je trouve que ça revient à mettre tous ses œufs dans le même coffre-fort : 'faut pas perdre le coffre-fort ! Et si les tentatives de récupération sont faciles, alors la vulnérabilité sera dans la récupération ...
Bref, j'attends de voir le prochain article de Next, mais pour l'instant j'ai du mal à voir comment résoudre ces questions d'ordre pratique justement.
#2.4
#3
J'ai du mal avec l'idée que le téléphone soit une clé de sécurité fiable, il me semble qu'il y a trop de briques technologiques divers et variété dans un téléphone pour garantir une sécurité.
Historique des modifications :
Posté le 07/06/2024 à 22h24
Personnellement, je fais plus confiance à un dispositif dédiés type Clé USB d'authentification comme la Nitrokey que le système de passkeys qui me semble un cheval de troie pour rattacher sa vie numérique à Apple, Google ou Microsoft.
J'ai du mal avec l'idée que le téléphone est une clé de sécurité fiable, il yme semble qu'il y a trop de briques pour garantir une sécurité.
Posté le 07/06/2024 à 23h04
Personnellement, je fais plus confiance à un dispositif dédié type Clé USB d'authentification comme la Nitrokey que le système de passkeys qui me semble un cheval de troie pour rattacher sa vie numérique à Apple, Google ou Microsoft.
J'ai du mal avec l'idée que le téléphone soit une clé de sécurité fiable, il me semble qu'il y a trop de briques technologiques divers et variété dans téléphone pour garantir une sécurité.
#3.1
#3.2
#4
Quand on vérifie l'identité d'un individu que l'on a devant soi, les empreintes digitales sont fiables, oui, parce que l'on voit que ce sont bien ses doigts qui sont scannés. Par contre, si un système électronique vérifie que l'empreinte digitale (ou ce qu'on lui fait croire être une empreinte digitale) est la bonne, rien n'assure justement que ça soit une vraie empreinte digitale qu'il a lue. Donc, on ne doit pas s'appuyer sur cela pour authentifier quelqu'un.
L'usage de fausses empreintes a déjà démontré que l'on pouvait tromper un système d'authentification par empreinte digitale. Voir ici, là ou aussi ici.
Historique des modifications :
Posté le 08/06/2024 à 00h19
Ah, la biométrie qui sert à authentifier alors que ça ne devrait être qu'une identification !
Quand on vérifie l'identité d'un individu que l'on a devant soi, les empreintes digitales sont fiables, oui, parce que l'on voit que ce sont bien ses doigts qui sont scannés. Par contre, si un système électronique vérifie que l'empreinte digitale (ou ce qu'on lui fait croire être une empreinte digitale) est la bonne, rien n'assure justement que ça soit une vraie empreinte digitale qu'il a lue. Donc, on ne doit pas s'appuyer sur cela pour authentifier quelqu'un.
L'usage de fausses empreintes a déjà démontré que l'on pouvait tromper un système d'authentification par empreinte digitale. Voir ici, là ou aussi ici.
#4.1
Mais je n'aime pas non plus cette approche, qui me semble beaucoup trop rassurer sur l'usage de la biométrie comme moyen d'authentification. Je ne pense pas que la plupart des gens comprendront que la fiabilité repose sur la combinatoire de la possession de l'appareil et de l'empreinte.
Et encore, même ça, ça se discute, vu qu'un appareil de ce type contient souvent les empreinte des gens un peu partout sur leur boîtier :)
#4.2
On pourrait surement imaginer s'appuyer sur autre chose, par exemple un master password, un lieu, un trait biométrique, un style d'écriture ou de dessin, une combinaison de tout ça
#5
Mes yubikey permettraient l'authent par passkey mais je n'en vois pas l'intérêt non plus. Ce serait une baisse importante de ma sécurité (ce que je possède devient un accès à part entière, limité par un PIN ... Lol).
Les passkey sont plus costauds que des mdp et je les utiliserai donc à terme pour cela. Mais les clés privées seront stockés dans mon keypass et le 2FA sera bien évidemment activé aussi sur ces services comme partout où je peux le faire.
Bref, dans mon cas (un utilisateur avancé), les passkeys ne changeront pas mon quotidien et ne révolutionnent rien, elles permettront juste de renforcer encore un peu plus la sécurité des comptes sur lesquels on pourra les utiliser.
#6
Partons du principe que l'extension de bitwarden est ouverte sur firefox. Si je me log sur boursobank avec ma passkey, je n'ai qu'à cliquer sur le jeton proposé spontanément par Bitwarden et... c'est tout. Alors dans ce cas c'est quelque chose que j'ai et... c'est tout. A mes yeux c'est du single factor. Pour moi Bitwarden ne respecte pas le cahier des charges et devrait --imposer-- un PIN systématique ou quelque chose dans le genre.
Autre chose, si je lance un exécutable malicieux sur ma machine, il pourra récupérer les passkeys sans problème avec une session ouverte de bitwarden, ce qui n'est pas le cas si la passkey est stockée sur yubikey par exemple. Là encore, Bitwarden devrait imposer un PIN ou autre pour accéder à la passkey.
Bref, quand je vois ça me je me dis qu'il y a un soucis quelque part, je reste sur password+MFA et yubikey de mon côté.
Historique des modifications :
Posté le 08/06/2024 à 09h36
Je trouve certaines choses très "limite" avec les passkeys. Prenons l'exemple de Bitwarden.
Partons du principe que l'extension de bitwarden est ouverte sur firefox. Si je me log sur boursobank avec ma passkey, je n'ai qu'à cliquer sur le jeton et... c'est tout. Alors dans ce cas c'est quelque chose que j'ai et... c'est tout. A mes yeux c'est du single factor. Pour moi Bitwarden ne respecte pas le cahier des charges et devrait --imposer-- un PIN ou quelque chose dans le genre.
Autre chose, si je lance un exécutable malicieux sur ma machine, il pourra récupérer les passkeys sans problème avec une session ouverte de bitwarden, ce qui n'est pas le cas si la passkey est stockée sur yubikey par exemple. Là encore, Bitwarden devrait imposer un PIN ou autre pour accéder à la passkey.
Bref, quand je vois ça me je me dis qu'il y a un soucis quelque part, je reste sur password+MFA et yubikey de mon côté.
Posté le 08/06/2024 à 09h37
Je trouve certaines choses très "limite" avec les passkeys. Prenons l'exemple de Bitwarden.
Partons du principe que l'extension de bitwarden est ouverte sur firefox. Si je me log sur boursobank avec ma passkey, je n'ai qu'à cliquer sur le jeton proposé spontanément par Bitwarden et... c'est tout. Alors dans ce cas c'est quelque chose que j'ai et... c'est tout. A mes yeux c'est du single factor. Pour moi Bitwarden ne respecte pas le cahier des charges et devrait --imposer-- un PIN ou quelque chose dans le genre.
Autre chose, si je lance un exécutable malicieux sur ma machine, il pourra récupérer les passkeys sans problème avec une session ouverte de bitwarden, ce qui n'est pas le cas si la passkey est stockée sur yubikey par exemple. Là encore, Bitwarden devrait imposer un PIN ou autre pour accéder à la passkey.
Bref, quand je vois ça me je me dis qu'il y a un soucis quelque part, je reste sur password+MFA et yubikey de mon côté.
#6.1
J’utilise un combo bitwarden + Authy sur deux devices différents précisément pour cette raison.
#6.2
Leur solution protégera contre quelqu'un qui aura deviné le mot de passe, mais pas contre un malware qui pourra récupérer les 2 facteurs en même temps.
Je suis de ton avis avec la Yubikey. L'un des deux facteurs doit avoir la clé privée, non exportable, dans un périphérique externe.
#6.3
#6.5
Les passkey ne sont même pas démocratisées que déjà des logiciels proposent de contourner le principe.
Il n'y a pas a pas 10000 solutions. Pour avoir un truc sécurisé, la clé privée doit être dans un hsm (hardware security module) dont la clé privée n'est pas exportable. Microsoft Hello pourquoi pas, mais le mieux étant un périphérique externe comme une Yubiney (en 2FA ou passkey, ça ne change rien).
#6.6
"Les passkey ne sont même pas démocratisées que déjà des logiciels proposent de contourner le principe."
C'est la même chose pour les OTP, c'est une aberration pour moi de les mettre dans ton gestionnaire de mot de passe, c'est un non-sens en terme de sécurité. Mais c'est une fonctionnalité qui peut être pratique en fonction du degrés de sécurité souhaité par l'utilisateur aussi.
Par contre est-ce que les gens stockent leurs OTP sur leur gestionnaire en toute connaissance de cause, ça c'est un autre débat 🙄
#6.4
Sauf erreur de ma part, il y a une option pour forcer la ressaisie du mot de passe maître pour atteindre les informations d’un identifiant. De plus le temps de verrouillage de la session est paramétrable (elle peut se refermer immédiatement).
Le code OTP via le coffre fort numérique c’est un confort. Tout comme l’authentification biométrique. C’est comme tout : les moyens de sécurisation d’accès doivent être adaptés au risque. Et la plupart du temps la contrainte est proportionnelle au degré de sécurisation.
Par exemple, je ne mets au coffre à la banque que ce que j’estime le mériter. Parce que ça a un coût mais aussi parce que ce n’est pas pratique d’y mettre des éléments dont j’ai une utilisation régulière. Je peux avoir un coffre à la maison pour les choses moins précieuses ou qui doivent rester plus accessibles. Et après c’est la serrure de la porte d’entrée pour le reste.
Bref vous voyez le topo.
Le code OTP dans Bitwarden ça reste un niveau de protection supplémentaire mais qu’on n’utilisera pas forcément pour les éléments pour lesquels on veut un max de protection.
#7
Le smartphone de ma fille a grillé..
On a voulu basculer son compte Gmail sur un autre et la cata.. impossible de passer le mfa
Google à grisé l'usage du SMS..
Il proposait le concept de clé mais si ton tel est cassé ou perdu bein c compliqué..
Heureusement depuis son pc synchronisé avec Google j'ai pu désactiver le mfa pour refaire une authent sur le tel de secours..
Bon j'en ai profité pour activer un authenticator sur mon tel au cas où..
Bref tout ça pour dire que ça peut vite devenir galère
J'ose imaginer que des gens plus intelligent que moi on réfléchit à ces cas, mais j'ai trouvé la démarche complexe (sécurité vs simplicité) et pas forcément accessible à tout le monde
#7.1
Ce genre de système ne semble avoir été réfléchi que par des personnes croyant qu'on a 15 appareils de secours.
#7.2
Perso j'utilise andotp et je fait un backup chiffré régulièrement au cas où mon tél plante
Historique des modifications :
Posté le 08/06/2024 à 10h55
Jamais testézis le mfa googleauth garde en mémoire tous les comptes si on change de tel ?
Perso j'utilise andotp et je fait un backup chiffré régulièrement au cas où mon tél plante
#7.3
Je ne parlais pas de leur appli TOTP Google authenticator (et oui, depuis peu, cette appli a une synchro en ligne optionnelle... Un choix discutable mais que perso j'ai fini par activer à contrecoeur voyant l'instabilité de mon ancien smartphone. J'ai même été au point d'activer la backup d'Android...).
Quand tu le connectes, il notifie pour une authent. Mais si t'as qu'un seul appareil android, bah c'est la merde.
Je n'ai pas souvenir d'une procédure type "bris de glace" avec des codes de récupération comme sur les autres services proposant du MFA.
Historique des modifications :
Posté le 08/06/2024 à 11h14
Non là c'est le MFA du compte Google en lui-même.
Je ne parlais pas de leur appli TOTP Google authenticator.
Quand tu le connectes, il notifie pour une authent. Mais si t'as qu'un seul appareil android, bah c'est la merde.
Je n'ai pas souvenir d'une procédure type "bris de glace" avec des codes de récupération comme sur les autres services proposant du MFA.
#7.4
C'est franchement pas rassurant et mauvais pour l'image du MFA, parce que finalement, comme pour les passkeys ici (même si j'attends les articles suivants), il n'y a pas de solution simple, universelle, rapide, compréhensibles par n'importe qui, au problème "mon téléphone est cassé/oublié/perdu", où la plupart des gens vont juste galérer pendant des jours voire ne jamais retrouver leur accès.
Historique des modifications :
Posté le 08/06/2024 à 13h18
Pour ma part je trouve de toute façon qu'en MFA les procédures de récupération la plupart du temps sont les parents pauvres, qui ne sont au mieux pas expliquées (donc non anticipées par les utilisateurs), au pire pas présentes. Souvent on se contente de se dire que le client bloqué appellera le service client et qu'on improvisera à ce moment-là sur comment faire, ou qu'on l'enverra juste chier en lui disant de se recréer un nouveau compte vide.
C'est franchement pas rassurant et mauvais pour l'image du MFA, parce que finalement, comme pour les passkeys ici (même si j'attends les articles suivants), il n'y a pas de solution simple et universelle, compréhensibles par n'importe qui, au problème "mon téléphone est cassé", où la plupart des gens vont juste galérer pendant des jours ou ne jamais retrouver leur accès.
Posté le 08/06/2024 à 13h19
Pour ma part je trouve de toute façon qu'en MFA les procédures de récupération la plupart du temps sont les parents pauvres, qui ne sont au mieux pas expliquées (donc non anticipées par les utilisateurs non avertis), au pire pas présentes. Souvent on se contente de se dire que le client bloqué appellera le service client et qu'on improvisera à ce moment-là sur comment faire, ou qu'on l'enverra juste chier en lui disant de se recréer un nouveau compte vide.
C'est franchement pas rassurant et mauvais pour l'image du MFA, parce que finalement, comme pour les passkeys ici (même si j'attends les articles suivants), il n'y a pas de solution simple, universelle, rapide, compréhensibles par n'importe qui, au problème "mon téléphone est cassé/oublié/perdu", où la plupart des gens vont juste galérer pendant des jours ou ne jamais retrouver leur accès.
Posté le 08/06/2024 à 13h20
Pour ma part je trouve de toute façon qu'en MFA les procédures de récupération la plupart du temps sont les parents pauvres, qui ne sont au mieux pas expliquées (donc non anticipées par les utilisateurs non avertis), au pire pas présentes. Souvent on se contente de se dire que le client bloqué appellera le service client et qu'on improvisera à ce moment-là sur comment faire, ou qu'on l'enverra juste chier en lui disant de se recréer un nouveau compte vide.
C'est franchement pas rassurant et mauvais pour l'image du MFA, parce que finalement, comme pour les passkeys ici (même si j'attends les articles suivants), il n'y a pas de solution simple, universelle, rapide, compréhensibles par n'importe qui, au problème "mon téléphone est cassé/oublié/perdu", où la plupart des gens vont juste galérer pendant des jours ou ne jamais retrouver leur accès.
#7.5
#8
J'ai encore du mal avec la biométrie, je n'aime pas utiliser un élément corporel pour la sécurité, car s'il y a un problème on n'a pas d'alternative (on peut toujours utiliser un autre doigt, ou oeil, mais personnellement mon nombre est limité).
C'est peut-être irrationnel comme crainte. Encore plus quand je vois l'engouement des gens à utiliser ce système, surtout des gens qui n'ont pas de notions de base de sécurité, je trouve que c'est plus un effet waouh liée à la nouveauté et l'effet de mode, qu'une véritable solution sécurisée (un peu comme le paiement sans contact).
Historique des modifications :
Posté le 08/06/2024 à 10h04
L'article parle de l'empreinte digitale. C'est un raccourci pour illustrer le besoin d'une validation corporelle, ou c'est vraiment l'empreinte (et non le fait de simplement toucher) l'appareil ?
J'ai encore du mal avec la biométrie, je n'aime pas utiliser un élément corporel pour la sécurité, car s'il y a un problème on n'a pas d'alternative (on peut toujours utiliser un autre doigt, ou oeil, mais personnellement mon nombre est limité). C'est peut-être irrationnel comme crainte. Encore plus quand je vois l'engouement des gens à utiliser ce système, surtout des gens qui n'ont pas de notions de base de sécurité, je trouve que c'est plus un effet waouh liée à la nouveauté et l'effet de mode, qu'une véritable solution sécurisée (un peu comme le paiement sans contact).
#8.1
La secure enclave est capable d'enregistrer une nouvelle image ou dire si une image qu'on lui fourni est valide ou non. Mais il n'est pas possible de lui demander de fournir l'image stockée précédemment.
La secure enclave est un système à part entière, c'est un SoC dédié avec ses mémoires volatile et non volatile dédiées. Autrement dit, l'image de ton factor biométrique n'est pas un fichier que l'on peut voler.
#9
Avec FIDO2 et les passkeys il est possible de faire du passwordless et du MFA. Le protocole webauthn utilisé dans les 2 cas supporte aussi le loginless via les discoverable credentials.
De mon point de vue (discutable bien entendu), les passkeys sont simplement une entente entre éditeurs pour reprendre un standard existant et le rendre plus pratique pour les utilisateurs, avec des concessions sur la vie privée et la sécurité. Il y a quelques années il y avait des promesses de compatibilité entre écosystèmes (Google, Apple, Microsoft) pour pouvoir transférer des clés, mais je ne retrouve pas d'article sur le sujet. Aujourd'hui ce n'est pas terrible :
- Il n'y a pas (encore ?) de "transférabilité"
- Il y a des sauvegardes automatiques chez certains éditeurs : les clés créées sur Android et iPhone sont envoyées chez Google/Apple.
- Les passkeys ne sont pas encore compatibles Linux, bien que des réflexions et travaux soient en cours. Je parle bien ici de la partie logicielle de l'OS pour l'authentification locale + utilisation d'un TPM : il est tout à fait possible d'utiliser actuellement une Yubikey/Nitrokey avec Firefox pour créer des passkeys sur des sites web.
Désolé pour la longueur mais il me paraissait important d'apporter ces précisions de contexte.
En espérant ne pas trop "spoiler" sur le prochaine article de Vincent !
#9.1
A mon avis, même si les passkey essayent de simplifier le process en améliorant la sécurité. A la fin, il n'y a pas de secret, l'utilisateur doit comprendre ce qu'il fait et comment ça fonctionne pour atteindre un niveau de sécurité sans compromis (autre que le pistolet sur la tempe) en terme de sécurité et de vie privée.
Le meilleur moyen de récupération en cas de perte de sa Yubikey et d'en enregistrer 2 à chaque fois, une principale et une de backup.
#9.2
#9.3
Mais l'exemple que je donnais, comme je l'ai dit, c'est pour avoir une solution sans compromis. Autrement, tu dois forcément faire confiance à un tiers, ou abaisser le niveau de sécurité (ce qui revient un peu au même).
.
#10
Pourtant sur GMail, malgré l'activation d'une passkey, c'est par défaut l'identification par mot de passe qui est proposée (une fois arrivé au champ de saisie du mot de passe, il me faut cliquer sur "choisir une autre méthode" puis "passkey"). Peut-être perce que je passe par un gestionnaire de mots de passe et non un smartphone ?
Parmi tous les services sur lesquels j'ai pu activer les passkeys (très peu en réalité, si l'on excepte là où les passkeys remplacent... les Yubikeys en 2FA) , je n'en vois qu'un qui fonctionne conformément à ce qui est décrit : la communauté /e/OS
#11
- la premiere mieux vaut-il un passkey hardware type fido ?
- est-ce judficieux d'utiliser un software tpe keepass ou autre pour le stocker à coté de son mot de passe
- même question avec le 2FA/ passkey au même endroit
#12
Par ailleurs TOUT mettre sur le même appareil laisse présager des catastrophes...
On se fait bousculer en rentrant dans le métro le téléphone tombe, on perd ses accès aux sites web, ses papiers, sa carte vitale, l'accès à sa banque en ligne, l'accès à sa voiture, voire même l'accès à son domicile...
Prendre plusieurs téléphobnes ? Sachant que toutes ces applications réclament (sans le dire explicitement d'ailleurs) des versions très récentes avec du matériel assez costaud, ça va vite revenir cher.
#13
#14
Même remarque pour la biométrie : un scan d'empreinte sur tel ne sécurise pas plus le téléphone, il reste toujours accessible via le mot de passe / code pin / schéma.
D'un point de vue mathématique, ces méthodes supplémentaires ne font en fait que baisser la sécurité : c'est un vecteur supplémentaire d'attaque.
#14.1
Ce qui me vient en tête tout de suite c'est l'utilisation du mobile en transport en commun, bureau ou lieu public.
Avant quand la biométrie n'existait pas tu tapé ton mot de passe/schéma qui pouvait être assez facilement repéré et donc on pouvait regarder par dessus ton épaule et voir ton code de déverrouillage. Aujourd'hui avec la biométrie tu déverrouille ton appareil rapidement et personne ne peut intercepter ton mot de passe (même si là aussi ça peut poser d'autre problème, si blocage uniquement par la biométrie).
Pour moi, moins tu tapes ton mot de passe, moins tu as de chance qu'il soit intercepté.
Après il faut trouver le bon équilibre entre praticité et sécurité et il n'y a pas de solution miracle, mais il peut y a voir un mix des solutions et différentes solutions pour une même personne suivant le niveau de sécurité souhaité pour un élément donné.
#15
#16
Rarement depuis mon tel (urgence urgence..)
Souvent depuis un linux mais pas le mien ou pas les droits
Ayant été sans poste fixe durant pfiou (j ai même mis un rpi4 tt un temps... Cest dire)
Si on est nomade... Et mon tel est un écran pour du call/text/ssh/vnc : no more
On fait quoi !?
Perso je resterai en mode remote + vaultwarden(selfhosted) + OTP(ailleurs) + Yubikey quand c est possible
=>yubikey nfc/usb-c dans les cas d urgence via tel...
(Qd le service d auth otp est mort...)
Vnc + fido2 ?
Rdp + fido2 ?
=>faisabilité
==> en terme de secu ?
Bref,
Moins le tel peut tt faire et mieux je me porte
No data/no secu et le peut qu il a est unique et filtré :
=> clé ssh avec un user défini sur le bastion via vpn only : si tel volé : faut le pwd de la clé, du vpn le user (no history) et l ip...
Moi : del user/key/access vpn + renew sur new tel
Et une passkey, je l intègre ou ? :)