Clés d’accès (passkeys) : après la théorie, place à la pratique !

Simplicité quantique

Clés d’accès (passkeys) : après la théorie, place à la pratique !

Dans un précédent article, nous avons expliqué le fonctionnement des clés d’accès, ou passkeys. Nous allons maintenant nous pencher sur leur utilisation, avec plusieurs cas pratiques. Nous verrons également les problématiques qui peuvent se poser dans leur gestion et les améliorations que les éditeurs ont encore à leur apporter.

Le 13 novembre 2024 à 09h27

Commentaires (23)

votre avatar
Dashlane ici, ça les gèrent plutôt bien.
C'est une app mobile et une extension des navigateurs.
Il faudrait que j'essaie sur le steamdeck pour voir si sous linux ça fonctionne.
votre avatar
En fait, je trouve que l'intérêt est limité tant que c'est en complément des mots de passe. Dashlane va déjà te mettre automatiquement le mot de passe et te connecter. Qu'il ajoute le mot de passe et fasse la connexion ou qu'il le fasse via la clé, il n'y a pas vraiment de gain de temps...
Enfin c'est la réflexion que je me suis fais depuis Dashlane et Bitwarden (en perso), avec des MDP autogénérés et costaux, j'ai trouvé l'intérêt plutôt limité tant niveau sécurité que niveau pratique.
votre avatar
gain de temps, oui pas vraiment, bien que je trouve que la détection du site/login est un poil plus rapide.
Par contre + sécure, oui je pense
votre avatar
Est-ce qu'utiliser la même clé d'accès à plusieurs services leur permettrait de faire du tracking ?
votre avatar
Les clés d'accès sont uniques à chaque site puisque la clé privée est associée à l'URL du site. 2 sites = 2 clés privées différentes. Et cette association permet de se protéger du hameçonage.
votre avatar
Je n'ai pas l'impression que leur adoption augmente beaucoup :(
J'aurais aimé que Bourso les acceptent pour l'authentification forte, ce n'est pas le cas. Toujours obligé de validé une transaction depuis le téléphone.
Coté Pro, pas d'adoption non plus.

Je ne peux les utiliser que pour la même chose qu'au premier jour, il y a 3 ans
votre avatar
Ca remplace l'utilisation des MDP, mais pas la double authentification. Même sur Amazon, si tu configure une clé, il te demandera la double authentification derrière...
votre avatar
Bourso ne demande que le mot de passe sur l'appli mobile pour considerer "une authentification forte". Mot de passe que remplace la clée de sécu pour les usage de consultation et autre.
Pas sur que ça puisse être assimilé a une authentification double facteur, mais plutot à un signe que la confiance de bourso sur les clée de sécurité s'arrête pour toute opération "a risque" pour eux.

Un truc par contre, mon telephone ne fait pas NFC, je ne sais pas si l'appli accepte la clée en authentification fort ou non. En tout cas, pas de validation de transaction possible sans son telephone.
votre avatar
Merci pour l'article.
Avec Bitwarden (Vaultwarden dans mon cas) ça fonctionne plutôt bien. Mais peu de sites les proposent. On trouve une liste ici.

Sur PC, avec Chrome, Firefox, ça fonctionne bien.
Sur Android, avec Bitwarden, c'est possible, mais uniquement sur une base Chromium, et ça demande une configuration supplémentaire.

J'ai donc quelques comptes avec passkey, mais ça reste light pour l'instant.
votre avatar
J'appuie ton commentaire avec le lien très pratique https://passkeys.directory/ qu'on ne voit pas assez à mon avis. J'y passe régulièrement afin de mettre à jour petit à petit mes comptes quand de nouveaux services que j'utilise son listés.
votre avatar
Je me pose pas mal de questions sur la synchro des clés entre appareils. si mon compte firefox sync marche bien pour mes mots de passe, qu'en est-il pour les passkeys? question bonus : est-ce qu'il y a une implémentation libre d'un serveur de synchro pour passkeys qui me permettrait de garder le contrôle dessus ? (avec les clients et extensions de navigateurs qui vont bien).
votre avatar
Il est indiqué dans l'article que le gestionnaire de Firefox ne prend pas en charge les passkeys.
Je ne vois pas d'autres solutions que d'utiliser un gestionnaire de mot de passe, Bitwarden (ou Vaultwarden), Dashlane, 1Password, etc.

D'ailleurs, on peut se poser également la question sur l'export et/ou le backup d'un coffre avec des passkeys.
Ça n'a pas l'air simple, et pour l'instant ça n'a pas l'air d'exister.

D'ailleurs Dashlane indique travailler avec 1Password sur ce sujet.
votre avatar
Marche parfaitement avec Proton Pass mais peu de site le propose en effet.
Le pire étant PayPal qui ne fonctionne qu'avec la solution Apple...
votre avatar
Je viens d'acquérir une yubikey (2 en fait, pour avoir un backup) mais je n'ai pas réussi à l'utiliser correctement. Je cherche un bon tuto à jour. Vous auriez ça en stock ?
votre avatar
Le site Yubico propose pas mal de tutos + vidéos. De ce que j'ai vu, ça doit répondre à la majorité des besoins.

Attention au clés d'accès physiques, le nombre d'emplacements de clés résidentes (en opposition aux clés non résidentes) est limité. Par exemple, sur une Onlykey (marque que j'utilise), c'est 12 emplacements de clés résidentes et une infinité de clés non-résidentes.
votre avatar
J’ai testé sur LinkedIn, il me demande un code envoyé par mail que je ne reçois pas.
Je ne suis pas très enthousiaste sur les implémentations des passkeys.
Ma Yubikey 5 est compatible avec les passkeys (c’est le cas pour GitHub).
Les implémentations WebAuthn en 2FA fonctionnent mieux dans l’ensemble.
votre avatar
Merci pour cette démo.

J'y pense de plus en plus, et la mise en lumière de Bitwarden m'a bien fait réfléchir.

J'ai une question toutefois.
Comment s'insère une clé Yubico Yubikey là dedans?
Merci aux sachants 👍
votre avatar
Je n'ai pas la science infuse, mais il me semble que la clé privée est alors stockée sur la Yubikey.

La connexion se fait alors en insérant et en touchant ta clé physique, de la même manière que tu validerai une connexion via un gestionnaire de mot de passe qui aurait sauvegardé ta "passkey".

La yubikey peut alors servir à la fois à la connexion (puisqu'elle conserve la clé d'accès) et à la 2FA, puisqu'elle conserve aussi le token qui génère le nombre aléatoire nécessaire à la double authentification.
Cela dit, tu ne peux stocker qu'un nombre restreint de passkeys (25 je crois), ce qui ne devrait pas poser trop de souci vu leur adoption limitée pour le moment. Voilà voilà, n'hésitez pas à me corriger si jamais je me trompe.
votre avatar
Merci, c'est l'idée que je m'en faisais aussi.
Si c'est confirmé, ça me branche vraiment comme façon de fonctionner.
votre avatar
Argh, je ne trouve plus le site qui répertorie les sites qui fonctionnent avec fido2, u2f et, surtout, indique ceux qui acceptent le multi-key. Parce que les passkey pour moi, c'est la plaie si ça ne prend qu'une clé (aussi ingérable que France Identité où il faut avoir sa CI sous la main). Déjà que c'est pénible avec les différents protocoles.
votre avatar
votre avatar
C'est le 2e, top ! Merci :)
votre avatar
Je ne comprends pas du tout l'utilité : la passkey est plus costaude, mais la connexion par mot de passe reste possible
=> Aucun gain côté sécurité ! éventuellement contre un key logger qui écouterait la saisie du clavier (est-ce encore factualité ?)
A l'usage c'est un simple certificat utilisateur en fait : le site des impôts faisait ça y'a presque 20ans !

Si il faut passer par un coffre fort centralisé autant rester sur des mots de passe complexe : c'est extrêmement simple à backuper (y compris en version papier dans un coffre fort !), ce n'est lié à aucun device (j'ai une app keepass sur mon mobile, au pire je peux toujours recopier les mots de passes générés pour me connecter depuis n'importe où), avec une pass key si tu perds ton périphérique principal pas sûr que tu ne restes pas bloqué en dehors de tes comptes !

Clés d’accès (passkeys) : après la théorie, place à la pratique !

  • Un premier cas : WhatsApp

  • Passons à LinkedIn

  • On change tout et on recommence : Amazon dans Safari

  • Et sous Linux alors ?

  • L’importance du gestionnaire

  • Une simplification à venir pour les échanges

Fermer