Connexion
Abonnez-vous

Apple, Google, Microsoft et l’alliance FIDO veulent en finir avec les mots de passe

Dents bleues et parquet

Apple, Google, Microsoft et l'alliance FIDO veulent en finir avec les mots de passe

Le 06 mai 2022 à 15h23

Apple, Google et Microsoft ont publié conjointement hier, journée mondiale du mot de passe, un communiqué affichant leur volonté d’en finir avec les mots de passe. Objectif, se débarrasser d’une mesure de protection considérée comme le maillon faible de la sécurité aujourd’hui, et promouvoir une authentification plus forte.

Le problème des mots de passe est connu depuis longtemps. Encore aujourd’hui, bien trop nombreuses sont les personnes à non seulement créer des mots de passe trop faibles, mais en plus à les réutiliser par simplicité d’usage.

Il faut dire que la technique a d’évidentes limites de praticité. C’était de loin la méthode la plus simple auparavant pour protéger un accès… quand ceux-ci étaient encore peu nombreux. Aujourd’hui, la situation est très différente. Avec la multiplication des services réclamant de créer des comptes, les utilisateurs font face à de grosses difficultés.

Rappelons en effet que dans l’idéal, un mot de passe doit être unique, pour une raison simple : la même adresse email étant souvent utilisée, il ne faut pas qu’un mot de passe dérobé puisse servir pour les autres comptes, créant une cascade d’accès piratés, avec les conséquences que l’on imagine. En plus d’être uniques, ces mots doivent être forts : au moins 12 caractères de long, avec des majuscules, minuscules, chiffres et caractères spéciaux. Les phrases de passe sont un bon moyen de contourner la difficulté, mais là encore il en faut une unique pour chaque compte.

Les gestionnaires de mots de passe ont largement simplifié tout ce bazar. Comme nous l’avons indiqué dans plusieurs articles, ils permettent de créer facilement des mots de passe très forts et uniques, de les stocker et de remplir automatiquement les formulaires quand on se balade sur le web. Certains sont très à l’aise en environnements mobiles et peuvent aussi compléter les champs dans les applications. Ils ont aussi une faiblesse : les données sont protégées par un mot de passe, qui doit être impérativement robuste pour sécuriser efficacement l’accès.

Même si les gestionnaires sont une étape importante, il n’en reste pas moins que les mots de passe eux-mêmes sont loin de la panacée. Car en cas de fuite chez un prestataire, il faut réagir rapidement et changer ses identifiants, même si la loi impose aux entreprises d’avertir les personnes concernées. En outre, à moins de créer ses premiers mots de passe avec un gestionnaire, l’installation de ce dernier doit idéalement être suivie d’une longue phase de remplacement de ses anciens mots.

Pour sécuriser ces accès, le deuxième facteur a été créé. Souvent envoyé sous forme de SMS, le code peut aussi être distribué via une application de type Authenticator. Certains éditeurs, comme Microsoft, ne réclament pas de code, et demandent à la place de valider la notification émise par l’application. Il y a gain de temps par rapport au code, mais l’ensemble reste lourd.

C’est dans ce contexte qu’Apple, Google et Microsoft ont affiché leur volonté commune d’en finir avec ce reliquat du passé.

Une extension des standards sans mot de passe

Dans ce domaine, c’est à l’alliance FIDO que l’on doit de gros progrès ces dernières années. Avec le standard du même nom puis sa version 2, on peut voir aujourd’hui de nombreux services prendre en charge les clés de sécurité de type Yubico ou les Titan de Google. C’est sur ce standard qu’est bâtie également la solution Windows Hello de Microsoft pour le déverrouillage de session via la webcam (il faut des modèles compatibles). Sur Internet, c’est le standard WebAuthn qui règne désormais.

Il y a toutefois une grosse limitation dans les premières implémentations : l’obligation de se reconnecter à chaque service compatible sur chaque appareil. Une étape pénible que les entreprises veulent notamment supprimer.

Comment ? En mettant sur un pied d’égalité toutes les solutions biométriques disponibles sur les appareils. Cela signifie qu’en théorie, vous pourrez passer d’un iPhone à un smartphone Android avec peu de manipulations pour en exploiter le capteur d’empreinte, alors que vous utilisiez Face ID par exemple. Ces solutions techniques ne seront plus limitées qu’à quelques applications internes – c’est notamment vrai chez Apple – et seront disponibles aux développeurs tiers à travers des API standardisées.

Deux mesures en particulier sont prévues :

  • un accès automatique aux informations sécurisées stockées sur l’appareil,
  • la possibilité d’utiliser un appareil mobile pour s’authentifier sur une autre machine.

Surtout, c’est l’intégration du standard au sein de tous les navigateurs et systèmes d’exploitation des trois géants qui devraient changer la donne.

Fini donc a priori les solutions développées chacun dans son coin, place à la mise en commun, ou du moins à l’accès unifié auquel tout le monde va se référer. Et on peut dire « tout le monde » car si Apple, Google et Microsoft s’y mettent, le reste de l’industrie suivra. D’autant que ce plan de bataille est réalisé dans le cadre de l’alliance FIDO (pour Fast IDentity Online), qui compte de nombreux autres membres.

Clés de passe et zones d’ombre

Il ne faudra donc plus parler de mot de passe, mais de « clé » de passe. Comment fonctionnera tout ça ? Par le stockage de cette clé dans l’appareil à la première authentification sur un compte. La clé est définie par le standard de l’alliance FIDO et est liée à la biométrie sur l’appareil utilisé. Elle ne peut être rappelée que quand cette même biométrie sert à authentifier l’utilisateur.

Le téléphone devient la clé, plutôt qu’un simple deuxième facteur générant un code à six chiffres pour compléter un mot de passe.

Sur l’ordinateur ou la tablette utilisée, le compte ouvert garde en mémoire les identifiants et ne doit plus les réclamer par la suite, sauf comportement contraire défini par la personne. Dans les grandes lignes, une authentification ressemblerait alors à ce que pratique Microsoft pour ses comptes quand son Authenticator est installé, à ceci près que la biométrie serait obligatoire.

Mais comme toujours face à ce type d’annonce, il y a des inconvénients et des zones d’ombre. À la lecture de ce fonctionnement, vous vous êtes peut-être posé(e) la question de ce qui assurait le lien entre le smartphone et l’appareil à déverrouiller. Internet et… le Bluetooth.

Internet pour envoyer au serveur concerné le signal que l’accès est confirmé, le Bluetooth pour s’assurer de la proximité de l’appareil. C’est une sécurité supplémentaire, dans le cas par exemple où le téléphone et l’ordinateur ne seraient pas au même endroit. Malheureusement, le Bluetooth est loin d’être disponible sur tous les PC. On le trouve presque à chaque fois sur les modèles portables et l’ensemble des Mac. Les PC fixes sont une autre paire de manche.

Les constructeurs, tout comme l’alliance FIDO, promettent également que ces clés seront préservées par les sauvegardes automatiques de chaque plateforme, donc par le compte. Ce qui signifie un stockage de ces clés sur les serveurs, avec toutes les problématiques d’accès aux données qui vont avec.

Et en cas de perte du téléphone ? Il suffira de restaurer sa sauvegarde sur le nouveau modèle acheté. Mais là encore, on manque de détails, notamment si on change de plateforme. Et restaurer avec quel contrôle de sécurité ? Probablement un mot de passe.

Une arrivée progressive

Ce qu’annoncent l’alliance et les trois entreprises n’est pas une disponibilité immédiate, mais un plan de bataille. Si l’on en croit leur calendrier actuel, ces nouveautés seront progressivement déployées au cours de l’année qui vient. On n’en sait pas plus pour l’instant.

Il est fort probable cependant que les mois qui viennent contiennent des annonces sur le sujet. Les beaux jours marquent en général l’arrivée des grandes annonces pour les trois grandes entreprises. La semaine prochaine, Google tiendra ainsi sa conférence I/O, les 11 et 12 mai. Microsoft prendra le relai avec sa Build du 24 au 26 mai, très certainement avec des annonces liées à Windows 11. La WWDC 2022 d’Apple se tiendra du 6 au 10 juin et sera le théâtre de présentation des nouvelles versions d’iOS et macOS, notamment.

Google passwordless journey

On a donc dans les prochaines semaines des occasions parfaites pour en annoncer davantage sur ce chapitre. Car cette annonce est loin de parer à tous les détails. On devrait notamment en apprendre davantage sur l’implémentation, car c’est cette dernière qui déterminera le succès ou non de l’initiative. Car ce n’est pas la première fois que les grandes entreprises s’attaquent au problème du mot de passe. Un effort de longue haleine qui passe par une cassure des habitudes chez des utilisateurs… qui détestent ça. Google a même publié une infographie pour rappeler les grandes étapes traversées jusqu'ici.

Enfin, face aux promesses de simplicité, il restera à déterminer si celle de la sécurité est tenue. Car si simplicité et sécurité ne s’excluent pas complètement, ils sont difficiles à marier et il faut souvent savoir de quel côté on tire le curseur. La sécurité implique également celle des données hébergées, car cela reviendra à confier en partie les clés du coffre à l’un des trois grands. À voir d’ailleurs comment les gestionnaires de mots de passe s’adapteront à cette lame de fond, même si disponibilité ne veut pas dire utilisation.

Commentaires (31)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Je suis assez mal à l’aise avec l’utilisation de mon téléphone perso (que j’oublie régulièrement) pour valider des accès.
Mais je comprends l’enjeu: cet après-midi, j’ai dû reconnecter 5 ou 6 services Ms (sharepoint, flow, forms, powerautomate, le portail admin, powerbi) car Ms a explosé ses service sur différents sites qui eux-mêmes font parfois des redirections qui nécessitent de revalider l’identité
Alors c’est sûr qu’avec une architecture pareille, heureusement qu’on ne tape pas sont mot de passe tout le temps, on perd déjà plusieurs secondes à se reconnecter…
Par contre, il faudra que l’on puisse héberger soi-même l’émetteur de jetons ou de je ne sais quoi.



J’ajoute quand même qu’il y a quelques années (environ 30), on avait un mot de passe et une carte dans les banques, la carte servant à la fois pour les portes et les ordis, on était bien obligé de la garder avec nous et de ne pas la laisser sur un terminal.
C’était carrément bien en fait comme système.

votre avatar

Oh punaise, ça me fait remonter des années en arrière… Mon père travaillait dans une de ces banques qui utilisaient le système carte+code. J’avais l’impression d’être au MI6 quand je les voyais utiliser ça ^^”

votre avatar

J’ai vraiment du mal à voir ça comme une avancée. Je vois surtout 3 mastodontes, pas vraiment connu comme étant très respectueux des données personnelles, voulant récupérer un nouveau marché (et potentiellement de nouvelles données).
Et je vois plusieurs gros inconvénients à cette solution du sans mot de passe :




  • obligation de passer par un tiers pour se connecter à un site avec tout ce que ça implique en terme de protection des données

  • obligation de passer par un outils physique (capteur d’empreinte/caméra), ce qui implique que le jour où on ne l’a pas sous la main on l’a dans l’os pour se connecter (je fais parti des personnes qui n’ont pas leur téléphone portable en permanence à portée de main)

  • le fait de devoir scanner mon empreinte digitale, mon visage, mon oeil, etc pour me connecter à un site me fait clairement flipper. Surtout quand je sais que derrière ces services se trouvent des boites comme Google, Apple ou Microsoft.



Et question amélioration de la sécurité, l’un des éléments centraux de cette méthode d’authentification va être le smartphone si j’ai bien compris l’article. Une bonne partie des gens ont des smartphones plus supportés par le constructeur (+ de 2 ans) , ne recevant donc plus de mise à jour de sécurité d’Android et étant donc potentiellement vulnérable à des attaques. Je ne sais donc pas si c’est vraiment l’idée du siècle de s’en servir pour valider les connexions aux comptes.
Je pige déjà pas comment on a pu transformer les smartphone en moyen de paiement (je n’y connais rien en sécurité, mais j’ai largement plus confiance dans ma carte bancaire que dans mon smartphone, surtout un vieux smartphone de 5 ans comme le mien), mais on va en plus lui confier également l’authentification à nos comptes…



D’une manière générale, j’ai beaucoup de mal à comprendre cette volonté de transformer nos smartphone en élément centrai de notre vie (les paiements, l’accès aux compte bancaire bientôt, la connexion à nos compte prochainement donc) nous en rendant ultra dépendant (ou plutôt encore plus que nous ne le sommes déjà).

votre avatar

fate1 a dit:


D’une manière générale, j’ai beaucoup de mal à comprendre cette volonté de transformer nos smartphone en élément centrai de notre vie



nous en rendant ultra dépendant (ou plutôt encore plus que nous ne le sommes déjà).


Je crois que tu réponds toi-même à ta question :francais:

votre avatar

On réfléchit à une telle problématique dans ma boite. Mais personnellement je trouve l’usage du smartphone est plus un risque qu’autre chose.
Car pour que toute cette sécurisation fonctionne il faut avoir un compte donc ses mails etc deviennent consultable très facilement en cas de vol du téléphone. Donc en gros pour combler un ruisseau on met un fleuve à la place !
Il y a aussi la solution de double authentification par tiers de confiance, genre inwebo. Chiant dans les paramétrages si on choisi l’authentification par navigateur et on est dépendant de la disponibilité de leurs serveurs.
Assez lourd mais le plus simple pour moi ce serai une clé genre titan, qui gère l’usb et le bluetooth.
Mais dans tout ça ce qui me gène le plus c’est la quasi obligation d’utiliser son propre smartphone pour le boulot, et donc qu’on informe directement les plus gros aspirateurs à données de qui ont est, où on est, ce qu’on fait, etc….
J’en suis a me poser la question de m’acheter moi même un téléphone ‘pro’ ultra basique juste pour gérer tout ça.

votre avatar

Cela fait tellement longtemps que divers acteurs nous promettent un futur “sans mot de passe” que ça en devient presque un marronnier.



Je suis à peu près convaincu que le mot de passe ne disparaîtra jamais, pour les raisons suivantes :




  • c’est le système le plus simple à implémenter d’un point de vue concepteur, et la grande majorité des sites ont la flemme n’ont pas le budget d’implémenter autre chose. Regardez les sites que vous visitez le plus, et comptez combien d’entre eux ont une forme de 2FA, ne serait-ce que les codes TOTP qui sont presque aussi simples à mettre en place qu’un système de mot de passe…



  • c’est, aussi, le système le plus simple à utiliser d’un point de vue utilisateur. Les mots de passe ont l’avantage qu’ils ne requièrent rien d’autre pour que ça marche (à part la mémoire de l’utilisateur, ou son gestionnaire de MDP). Contrairement aux autres méthodes, qui requièrent un élément externe : soit un objet physique ou pas (“ce que je possède”) ou une interface biométrique (“ce que je suis”). Ce qui peut être un gros frein, car d’abord beaucoup d’utilisateurs n’ont pas forcément envie de se prendre la tête avec ça (qui, ici, a activé la 2FA sur TOUS les sites et services où il est inscrit ?) et puis car plus il y a d’acteurs/d’équipements, plus il y a de possibilités que quelque chose se mette à mal fonctionner et bloque l’authentification (typiquement, un SMS de 2FA qu’on ne reçoit pas car la couverture est pourrie). Sans compter que ces prestataires externes peuvent également se faire compromettre (qui a dit Okta ? :D )




Je rejoins également les réticences de fate1. L’authentification en deviendrait un système assez opaque, ce qui peut être problématique d’un point de vue vie privée et nous rendrait dépendants à des prestataires. Un peu comme la TV via les box Internet (par opposition à la TV hertzienne), où on est à la merci de l’opérateur, et du groupe audiovisuel (qui peut décider de couper sa diffusion s’il estime que l’opérateur ne lui donne pas assez d’argent…).



Donc du coup, un monde sans mot de passe… En entreprise, peut-être, si on met les moyens et qu’on fait beaucoup de formation aux utilisateurs. Par contre, en général, je pense ne pas risquer grand chose en pariant toutes mes économies sur le fait que cela n’arrivera jamais.

votre avatar

En entreprise, peut-être, si on met les moyens et qu’on fait beaucoup
de formation aux utilisateurs…



là..je sui d’accord ! :fumer:

votre avatar

Je ne suis pas sûr de comprendre … pourquoi tout tournerait autour des smartphones ? Les clés USB FIDO ne seraient pas la partie ? C’est plutôt à ça que j’ai pensé en voyant le titre.

votre avatar

En fait ça serait grosso modo un genre de gestionnaire de mot de passe? C’est FIDO qui s’en charge? Alors pourquoi ne pas rester sur un gestionnaire classique, non géré par Big Bro?

votre avatar

J’ai toujours pas compris comment une empreinte faciale ou digitale apportait plus de sécu :



Pour me soutirer mon mot de passe, je doit être vivant, en capacité de parler, il faudra donc me torturer.
Ce qui n’est pas vrai pour mes empreintes digitales (que je laisse un peu partout) ou mon visage.



Comprend pas :craint:

votre avatar

C’est clair, le Face ID il est tellement sensible tu le déverrouille direct sans le consentement, et peut être même sans que la personne sois au courant (ça reste plus compliqué pour le doigt) :D

votre avatar

Et tu as raison, ils ne répondent pas à un des critères important d’un moyen d’authentification : la possibilité de changer (sauf surgerie)

votre avatar

Difficile de considérer ce nouveau cran d’aliénation aux géants de numérique comme une avancée, je trouve. Adepte d’un KeePass posé en Cloud avec 2AF, j’ai le sentiment qu’éduquer aux quelques efforts nécessaires pour une bonne hygiène serait tellement plus précieux !

votre avatar

gg40 a dit:


J’ai toujours pas compris comment une empreinte faciale ou digitale apportait plus de sécu :


C’est même ultra pratique pour partager l’accès avec les collègues: il suffit de garder l’index gauche pour soit, et le majeur pour le login d’un autre collègue, la main droite pour 5 collège de l’autre service… (c’est du vécu - d’ailleurs je le fais moi-même sur mon smartphone: l’index, c’est moi, mais les empreintes alternatives, c’est les index de mes enfants).



Avec tout cela, l’utilisation du smartphone perso est je trouve ce qui sécurise le plus l’entreprise:




  • Les clés USB type certificat ou “sécurité” sont rangées régulièrement dans la pochette de l’ordi, alors que le smartphone perso reste avec la personne (de même, quand les gens partent en vacances, ils laissent la clé dispo au bureau pour les collègues avec le mot de passe écrit dessus…)

  • La biométrie: même le visage: des utilisateurs passent une photo qui est sur le bureau pour que la secrétaire puisse elle aussi déverrouiller l’ordi à l’occasion…




TheStig a dit:


J’avais l’impression d’être au MI6 quand je les voyais utiliser ça ^^”


Non, ça c’est quand tu bossais pour une société dont le code des portes était sur 6 chiffres et changeait toutes les x minutes et que tu le recevais sur pager…

votre avatar

D’accord avec les réticences exprimées supra sur l’usage du smartphone, la reconnaissance faciale, les clés de sécurité ou FIDO.
Pour les logiciels de mots de passe, on accorde toute confiance à des sociétés dont on ne sait pas grand chose et dont l’évolution est imprévisible. Où sont conservées les données ?
J’utilise la double authentification et la mémorisation des mots de passe proposée par Firefox et autres navigateurs, mais pas pour ceux “sensibles”. Attention car souvent le navigateur mémorise à notre insu.
Sinon, tout mes mots de passe sont consignés sur un tableur, mais sans l’adresse de courriel. J’imprime et garde chez moi une version papier. Cela fait une trentaine de pages. Le fichier est sur une carte SD non insérée. Pratique : tout est classé par ordre alphabétique. Au pire, j’ouvre le fichier et fais CTRL+F + le nom du site.
Sinon, HSBC utilisé la double authentification sans smartphone au moyen d’un boîtier Securekey au format carte de crédit. Ça ne fonctionne que pour cette banque mais cela me semble très bien à l’usage.

votre avatar

Ailothaen a dit:


Je suis d’accord avec toi sauf sur ce point :




les codes TOTP qui sont presque aussi simples à mettre en place qu’un système de mot de passe…


Pas tout à fait, ou plutôt, oui, mais juste la mise en place alors. Pour le support utilisateur, je craint que ça doit pas être la même musique…

votre avatar

Autant en milieu PRO, le 2FA n’a pas sont égal :




  • ton MDP dans ta tête + token OTP physique avec une partie de code mémorisée non choisie ou par ton badge d’accès

  • ton MDP dans ta tête + ton badge d’accès

  • une carte + un mdp (court) que tu n’a pas choisi pour les combiner dans ta calculette



en cas d’oubli : bon si t’habites trop loin pour refaire l’aller-retour, tu t’organises, tu fais des réunions prévues un autre jour ou t’aides tes collègues sur des sujets, au pire du perds une journée
en cas de perte ou de vol : direction l’accueil, ils désactivent l’ancien et t’en fournissent un opérationnel rapidement. Tu n’a pas 50 mille actions à faire.



Autant en milieu perso la 2FA sur smartphone ou USB c’est la galère pour 2 raisons :




  • OTP sur ton smartphone, clef USB, n’importe quel système externe de toi



en cas d’oubli : blocage sur des actions importantes : à la caisse lors de tes courses par exemple, administration de tes sites web ou infra internet , accès à ses emails, consultation banque
en cas de perte ou de vol : tu ne peux faire aucune des activités ci-dessus tant que tu n’as pas fait désactivé UNITAIREMENT le 2FA auprès de chaque fournisseurs. Avec pour certains des famines : tu ne peux pas t’authentifier en Authenticator ? :




  • pas de problème on t’envoie un code SMS, .. mais “on m’a piqué mon téléphone !! “

  • on te demande de passer par l’application mobile que tu n’as pas installé ou “on m’a piqué mon téléphone !! “

  • on te demande d’envoyer un email avec des pièces d’identités prouvant que tu es toi : mais je n’ai pas accès à mon webmail car je l’ai aussi en 2FA et je n’ai plus la clef ou le téléphone avec authenticator
    Bref c’est une merde sans nom (pour l’avoir vécu dernièrement).

votre avatar

Vu la mésaventure que tu cites sur le plan personnel, il faudrait limite un second smartphone en backup stocké dans un endroit sûr… (du genre un bas de gamme qui ne contient que ça - le hic étant les services en ligne qui n’autorisent qu’un seul device pour le 2FA et forcément ça implique un coût)



Après, la mise en oeuvre du 2FA propose à chaque fois des codes de récupération normalement. Personnellement je les stocke dans mon Keepass et celui-ci est synchro sur plusieurs machines donc peu de risques d’en perdre l’accès à un moment donné.



Accessoirement, KeepassXC sait faire générateur TOTP, si le service en ligne autorise plusieurs sources de 2FA, j’ai pris l’habitude de le déclarer systématiquement. Mais oui, c’est pas une pratique courante pour le commun des mortels.

votre avatar

Logiquement, en 2FA, tu as des codes de secours que tu stockes séparément pour justement éviter ces problèmes-là.

votre avatar

Edtech a dit:


Logiquement, en 2FA, tu as des codes de secours que tu stockes séparément pour justement éviter ces problèmes-là.


Cool, une liste de code de secours à stoker de façon sécurisée au lieu d’un mot de passe. Et pour être sûr de ne pas les perdre, on les imprime / duplique … comme les mots de passe qu’ils sont censés remplacer.
A la fin on a rien gagné, non ?

votre avatar

Le passwordless peut déjà être utilisé, j’avais crée un compte pour tester (c’est dans les options du compte).



L’un des (dé)avantages, c’est que l’on doit obligatoirement avoir une authentification d’un tiers afin de pouvoir se connecter.



En cas de défaillance, ou de blocage, on ne pourra plus se connecter (tout dépend de la stratégie employée), surtout s’il n’y a plus d’autre moyen rattaché.



Dans le cas d’une entreprise, c’est même assez vital, car si un compte est compromis, on peut le bloquer immédiatement (avec une minoration pour le token accordé qui a un délai de sécurité).



J’utilise notamment des Yubiko OTP/NFC sur certains de mes comptes (dont github).



J’ai toutefois noté qu’une majorité de site sont encore uniquement avec un mot de passe, avec de plus en plus de second facteur plus ou moins sécurisé, et que ce mot de passe est assez limité en longueur, et jeu de caractères : utiliser un mot de passe unique avec un gestionnaire est une bonne habitude à prendre, et ce dernier nous y aide beaucoup.



J’ai toutefois une remarque à faire : quand on utilise un gestionnaire de mot de passe intégré au navigateur comme Chrome, Edge Chronium (et je ne sais pas pour les autres comme Apple par exemple), la synchronisation fait que déjà on donne nos clés à un tiers, voir plusieurs.



Ca peut être intéressant pour vérifier si les mots de passes sont compromis car ils savent nous l’indiquer, mais c’est également une source potentielle de vulnérabilité :(



Wait and See.

votre avatar

Ce qui me fait le plus peur (sans répéter toutes les craintes qui ont déjà été énoncées, que je partage), c’est la disparition pure et simple de l’anonymat en ligne.



Il est évident que cette fameuse clé qu’elle qu’en soit sa forme (USB, smartphone, voire même virtuelle) sera rattachée à mon identité réelle : preuve d’identité pour des services officiels type banque ou service public, empreinte digitale, rétinienne ou autre, obligation légale de fournir sa date de naissance quand on créer un compte Google, lien avec un compte bancaire pour le paiement en ligne, etc .

votre avatar

SebGF a dit:


Après, la mise en oeuvre du 2FA propose à chaque fois des codes de récupération normalement. Personnellement je les stocke dans mon Keepass et celui-ci est synchro sur plusieurs machines donc peu de risques d’en perdre l’accès à un moment donné.



Accessoirement, KeepassXC sait faire générateur TOTP, si le service en ligne autorise plusieurs sources de 2FA, j’ai pris l’habitude de le déclarer systématiquement. Mais oui, c’est pas une pratique courante pour le commun des mortels.


J’avais bien récupéré mes codes de récupération OVH, sauf que je n’ai pas utilisé le premier sur le moment pour les activer… j’avais pas tout lu à l’époque, j’en ai payé le prix. Après, avec OVH ca s’est bien passé, je n’ai pas perdu de temps.
Merci du conseil, j’utilise bien KeepassXC et je n’avais jamais remarqué la fonctionnalité d’OTP

votre avatar

alphacentauris a dit:


Ca peut être intéressant pour vérifier si les mots de passes sont compromis car ils savent nous l’indiquer, mais c’est également une source potentielle de vulnérabilité :(


Google Assistant vous aidera à changer de mot de passe en cas de fuite (numerama, 6/5/22)

votre avatar

wh6b a dit:


Merci du conseil, j’utilise bien KeepassXC et je n’avais jamais remarqué la fonctionnalité d’OTP


J’ai aussi récemment découvert que KeepassXC savait le faire, j’adore cet outil :D

votre avatar

Le Keepass “normal” peut supporter TOTP aussi si on lui adjoint le plugin KeeOtp2.



Pour l’article, non merci. Je préfère les mots de passe car c’est moins pénible. Il faut dire que Keepass aide à cela et je n’aime pas dépendre de certains devices, qu’ils soient clés USB ou smartphone pour ce genre d’exercice. Je trouverai cela même moins sécurisé et délicat à gérer : en cas de perte et de vol, il faut tout refaire.



Le fichier Keepass, bon courage pour accéder à son contenu et si un mot de passe doit être changé, je le change.

votre avatar

(quote:2071465:brice.wernet)
Non, ça c’est quand tu bossais pour une société dont le code des portes était sur 6 chiffres et changeait toutes les x minutes et que tu le recevais sur pager…


Ah là, respect ! :transpi:

votre avatar

OpenID n’a pas pris https://openid.net/connect/
Mais “log with Facebook” oui.



Ca me parait une tentative de prendre de vitesse le “connecte toi avec le service souverain” de l’UE ou la France.

votre avatar

Sauf erreur de ma part OpenID est le socle technologique utilisé par Facebook, Google & Co:
https://fr.m.wikipedia.org/wiki/OpenID
Dans le cas de Google, Facebook, ils ne servent que de portails,de fournisseurs d’identité.



France Connect utilise aussi ce socle technologique :
https://fr.m.wikipedia.org/wiki/FranceConnect

votre avatar

Lorsqu’on veut nous refourguer une nouvelle technologie avec comme argument principal la simplification, j’ai tendance à me méfier…



Puis, on va tenter de nous enchainer avec le smartphone comme vecteur principal avec le portefeuille numérique, promu par Thierry Breton, ex président d’ATOS.



Le passeport vaccinal européen est prolongé d’une année…



L’euro numérique, géré par la banque centrale, arrive à grands pas…



Et puis ce sera le crédit social, qui a déjà commencé à Bologne, en Europe (certes vertueux pour le moment mais qui sera rapidement mis à la sauce chinoise…).



Un monde infantilisant et de surveillance, non merci…

votre avatar

J’utilise déjà un mécanisme similaire d’authentification par les téléphone sur mon chromebook. Ça marche bien. C’est plus pratique qu’un mot de passe. Mais l’utilisation ou capteur d’empreinte intégré à l’ordinateur est quand même plus fluide et fonctionne quelque soit l’état des batteries du téléphone.

Apple, Google, Microsoft et l’alliance FIDO veulent en finir avec les mots de passe

  • Une extension des standards sans mot de passe

  • Clés de passe et zones d’ombre

  • Une arrivée progressive

Fermer