Connexion
Abonnez-vous

Les comptes Google acceptent les passkeys pour se connecter

Les comptes Google acceptent les passkeys pour se connecter

Le 05 mai 2023 à 05h23

Google vient de l'annoncer sur son blog, «  vous pouvez créer et utiliser des passkeys sur votre compte Google personnel ». Jusque-là peu présentes sur les plateformes et applications, le passage de Google à ce système pourrait signer l'accélération de leur adoption.

Comme nous vous l'expliquions en décembre dernier, elles ont pour mission de remplacer avantageusement les mots de passe qui accumulent les problèmes depuis longtemps.  Elles se veulent plus simples d’utilisation et surtout plus sécurisées, en empêchant l’information identifiante d’être volée.

Google explique que les méthodes de connexion existantes continueront de fonctionner, notamment pour prendre en compte le fait qu'il existe encore des appareils qui ne les prennent pas en charge. «  Toutefois, la création d'une passkey aujourd'hui présente des avantages en termes de sécurité, car elle nous permet d'accorder une plus grande attention aux identifications qui se font à l'aide de mots de passe », juge l'entreprise.

Le 05 mai 2023 à 05h23

Commentaires (25)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Ah. Enfin la fin du password et du 2FA.



Les gens vont p-e comprendre pourquoi Win11+TPM :)

votre avatar

Enfin une bonne nouvelle ! Les mots de passe, c’est dépassé.

votre avatar

Comme le contrôle se fera au niveau du smartphone apparemment, je ne vois pas en quoi ça va améliorer la sécurité. Combien de personnes ont un smartphone qui a 2 ans ou plus et donc ne reçoit plus aucune mise à jour de sécurité ? C’est mon cas avec un P9 Lite de + de 5 ans qui fonctionne très bien mais est complétement à la rue niveau sécurité, et je trouve qu’un mot de passe robuste est largement plus sûr que d’utiliser mon vieux smartphone pour valider les accès à ma banque, paypal, les impôts, etc.

votre avatar

Je reste assez sceptique sur toute cette affaire, j’ai beau avoir lu pas mal de truc, je crois que mon Password + Clé physique, reste largement plus pratique ne nécessitant pas d’avoir mon smartphone sous la main.

votre avatar

fate1 a dit:


Comme le contrôle se fera au niveau du smartphone apparemment, je ne vois pas en quoi ça va améliorer la sécurité. Combien de personnes ont un smartphone qui a 2 ans ou plus et donc ne reçoit plus aucune mise à jour de sécurité ? C’est mon cas avec un P9 Lite de + de 5 ans qui fonctionne très bien mais est complétement à la rue niveau sécurité, et je trouve qu’un mot de passe robuste est largement plus sûr que d’utiliser mon vieux smartphone pour valider les accès à ma banque, paypal, les impôts, etc.


n’importe quelel personne qui te voit taper ton mdp peut récupérer ton mot-de-passe.
n’importe quel keylogger peut récupérer ton mot-de-passe.
n’importe quelle injection js peut récupérer ton mot-de-passe.
n’importe quelle attaque MiM peut récupérer ton mot-de-passe.
etc.



Je vois plein d’inconvénients aux passkeys. Mais certainement pas la sécurité.

votre avatar

C’était simple à activer, Google m’a proposé plusieurs méthodes et j’ai choisi mon code PIN Windows Hello, méthode que j’utilises aussi pour ma banque, ca fonctionne.

votre avatar

Je n’ai peut-être pas compris toutes les subtilités de ce nouveau mécanisme, mais j’ai l’impression qu’au final, ça déporte la sécurité sur le smartphone.
Et comme la sécurité d’une chaîne ne tient qu’à son maillon le plus faible …
Et que celle d’un smartphone ne tient dès fois à pas grand chose (cf news sur le vol d’iPhone + code).



Comment se protéger alors que le déverrouillage du smartphone est fait au vu de tous ?

votre avatar

(quote:2132033:127.0.0.1)
Ah. Enfin la fin du password et du 2FA.



Les gens vont p-e comprendre pourquoi Win11+TPM 2.0 :)


(et encore…)



Facile, il te suffira de brancher a ton téléphone une clé OTG qui contiendra le mot de passe de déverrouillage du téléphone. :D

votre avatar

J’ai aussi l’impression que ça ne fait que déporter le problème sans le résoudre.
Cela règle certains aspects de la sécurité mais cela apporte d’autres soucis, qui ne sont pas forcément moindres que ceux d’avant. Il faut avoir confiance dans l’appareil et un téléphone par exemple n’est clairement pas un appareil de confiance… surtout s’il est facile à perdre, casser, se faire voler.

votre avatar

(quote:2132033:127.0.0.1)
Ah. Enfin la fin du password et du 2FA.



Les gens vont p-e comprendre pourquoi Win11+TPM :)


Moi je comprends surtout que d’un coup tu perds tout … c’est fort pratique.
Je me suis retrouvé bien bien con quand mon ordi portable avec TPM est tombé en rade avec masse de clés dedans.




fate1 a dit:


Comme le contrôle se fera au niveau du smartphone apparemment, je ne vois pas en quoi ça va améliorer la sécurité. Combien de personnes ont un smartphone qui a 2 ans ou plus et donc ne reçoit plus aucune mise à jour de sécurité ? C’est mon cas avec un P9 Lite de + de 5 ans qui fonctionne très bien mais est complétement à la rue niveau sécurité, et je trouve qu’un mot de passe robuste est largement plus sûr que d’utiliser mon vieux smartphone pour valider les accès à ma banque, paypal, les impôts, etc.


Ou juste la perte du smartphone :eeek2:




TheGuit a dit:


Je reste assez sceptique sur toute cette affaire, j’ai beau avoir lu pas mal de truc, je crois que mon Password + Clé physique, reste largement plus pratique ne nécessitant pas d’avoir mon smartphone sous la main.


Aujourd’hui (avec une clé de secours en plus), je trouve ça le plus secure.




(quote:2132057:127.0.0.1)
n’importe quelel personne qui te voit taper ton mdp peut récupérer ton mot-de-passe. n’importe quel keylogger peut récupérer ton mot-de-passe. n’importe quelle injection js peut récupérer ton mot-de-passe. n’importe quelle attaque MiM peut récupérer ton mot-de-passe. etc.



Je vois plein d’inconvénients aux passkeys. Mais certainement pas la sécurité.


n’importe quel machine tombe en pane
n’importe quelle machine se fait voler / perdre
n’importe quelle machine peut tomber sur un enfant / un animal



Le jours où tu “perds” le terminal de confiance t’es encore plus dans la merde qu’autre chose.
Testé avec la clé de chiffrement bitlocker sur la puce TPM 2.0 de mon Lenovo Thinkpad qui n’était plus sous garantie …

votre avatar

(quote:2132131:j34n-r0x0r)
(et encore…)



Facile, il te suffira de brancher a ton téléphone une clé OTG qui contiendra le mot de passe de déverrouillage du téléphone. :D


:mdr2:

votre avatar

the_Grim_Reaper a dit:


Le jours où tu “perds” le terminal de confiance t’es encore plus dans la merde qu’autre chose. Testé avec la clé de chiffrement bitlocker sur la puce TPM 2.0 de mon Lenovo Thinkpad qui n’était plus sous garantie …


hmm… ca se réplique les passkeys.
Tu peux les sauvegarder/archiver sur le support de ton choix, ou sur le cloud.
Tu peux les synchroniser sur plusieurs appareils (via un cloud, ou en direct/proximité).



Basiquement, un trousseau de passkeys c’est juste un fichier chiffré qui contient des clés privés/publiques, avec un chiffrement/déchiffrement propre à chaque appareil.

votre avatar

Tout cela est d’un compliqué !

votre avatar

(quote:2132151:127.0.0.1)
hmm… ca se réplique les passkeys. Tu peux les sauvegarder/archiver sur le support de ton choix, ou sur le cloud. Tu peux les synchroniser sur plusieurs appareils (via un cloud, ou en direct/proximité).



Basiquement, un trousseau de passkeys c’est juste un fichier chiffré qui contient des clés privés/publiques, avec un chiffrement/déchiffrement propre à chaque appareil.


Ah bon ? Ce n’est pas lié à une puce type enclave sécurisé (TPM, titan, etc) c’est ce qui est vanté pour la mise en avant de la sécurité.
Et là justement comme évoque the_Gream_Reaper > plus de puce, plus de chocolat, alors qu’un trousseau non lié au matériel est duplicable.

votre avatar

(quote:2132151:127.0.0.1)
hmm… ca se réplique les passkeys. Tu peux les sauvegarder/archiver sur le support de ton choix, ou sur le cloud. Tu peux les synchroniser sur plusieurs appareils (via un cloud, ou en direct/proximité).



Basiquement, un trousseau de passkeys c’est juste un fichier chiffré qui contient des clés privés/publiques, avec un chiffrement/déchiffrement propre à chaque appareil.


Mais donc si ça se réplique comment est assuré la sécurité pour ne pas que ça leak ?

votre avatar

Xanatos a dit:


Ah bon ? Ce n’est pas lié à une puce type enclave sécurisé (TPM, titan, etc) c’est ce qui est vanté pour la mise en avant de la sécurité. Et là justement comme évoque the_Gream_Reaper > plus de puce, plus de chocolat, alors qu’un trousseau non lié au matériel est duplicable.


Analogie. Forcément foireuse, donc je m’attends à des tombereaux d’insultes par les experts.
Mais bon, allons-y:



un fichier zip chiffré, qui contient un autre fichier zip chiffré, qui contient des clés privée/publique des comptes web.



device.zip/ (chiffré par une clé de l'appareil (TPM...))
user.zip/ (chiffré avec une clé perso (biométrie, text, pincode...))
[email protected]
[email protected]
[email protected]
...


pour accéder aux clés des comptes web, il faut à la fois la clé de l’appareil et la clé de l’utilisateur.
les clés des comptes web sont utilisées pour faire de l’authentification Challenge/Response (comme NTLM): le site web demande “chiffre moi le mot ‘azerty’ avec ta clé privée, et si tu y arrives c’est que c’est bien toi”.



Pour la synchro par un cloud, ca se passe comme si le cloud était un appareil avec sa propré clé (TPM). Une fois les appareils et le cloud reliés (=autorisés à discuter entre-eux), les *.key sont transférés via connexions chiffrés et stockés dans le zip-de-zip de chaque appareil.

votre avatar

L’analogie me va.
Et donc, est-il possible ou non de dupliquer une “clé d’appareil” ?
De ce que j’en ai retenu ; c’est non ; d’où le problème que me pose ce genre de solution

votre avatar

Xanatos a dit:


L’analogie me va. Et donc, est-il possible ou non de dupliquer une “clé d’appareil” ?


Bah si c’est une puce TPM qui gère cette clé, non.




De ce que j’en ai retenu ; c’est non ; d’où le problème que me pose ce genre de solution


La spec de webauthn ne définit pas de protocole de backup. :pleure:



Ca peut faire peur, j’avoue.



Mais l’idée c’est que:




  1. si c’est un réel besoin, c’est aux fabricants de fournir des extensions pour le faire (exemple)



  2. l’idée pour palier la perte des clés ce n’est pas de cloner les clés existantes, mais de créer des nouvelles clés.




En gros, au lieu d’acheter deux appareils et de chercher à les synchroniser, tu enregistres une clé (différente) sur chaque appareil. Un peu comme si tu pouvais créer plusieurs password pour un même compte.

votre avatar

C’est une solution, une étape de gestion supplémentaire.
Après la règle des 3.2.1 pour les sauvegardes, la même chose pour les passkeys, quelle simplicité :mad2:



edit: mal lu, 2 mdp différents pour un compte, mieux

votre avatar

Pour appuyer mon propos:




Using passkeys to sign in to your Google Account



Using passkeys does not mean that you have to use your phone every time you sign in. If you use multiple devices, e.g. a laptop, a PC or a tablet, you can create a passkey for each one. In addition, some platforms securely back your passkeys up and sync them to other devices you own.


votre avatar

Si ca vous intéresse, voici un récent débat sur le forum de GrapheneOS avec des questions et réponses intéressantes.



https://discuss.grapheneos.org/d/4834-what-is-your-opinion-on-the-new-passkey-release-of-google



Rassurez-vous, on est pas les seules à se poser des questions.



Pour l’instant, de loin j’aime vraiment bien l’idée de Passkey , mais c’est un concept très nouveau, bien que Google en rêve depuis 10 ans, mais personne n’était prêt à ce moment là.

votre avatar

Xanatos a dit:


C’est une solution, une étape de gestion supplémentaire.
Après la règle des 3.2.1 pour les sauvegardes, la même chose pour les passkeys, quelle simplicité :mad2:
edit: mal lu, 2 mdp différents pour un compte, mieux


Je pense que Webauthn est une solution idéale pour la nouvelle génération qui vit et meurt par le(s) smartphone(s).



Pour moi qui utilise principalement de PC windows (et laptop/mac), ce n’est pas idéal du tout car ce n’est pas intégré dans ces plateformes.: il faut acheter plusieurs authenticators (clé yubico), paramétrer des trucs dans les navigateurs/OS, etc.



Avec win11et TPM, ca va déjà aller mieux. Mais pour mon cas perso il faudra encore attendre un moment pour que ca soit idéal.

votre avatar

Ça a l’air moins sécurisé qu’un mot de passe…



Ou plutôt, ça cause une externalisation de la confiance. Keepass et mes mots de passe tous différents, je les contrôle et je suis confiant sur ma capacité à gérer et au pire à corriger si un service web s’est encore fait pirater car la sécurité leur était trop chère…



Les passkeys, je n’en ai pas le contrôle. C’est l’équipement qui gère et par sécurité du fait du risque de défaillance hardware (ma hantise), j’aurai à devenir dépendant des grands du web pour qu’ils gardent la clé privée… alors que je fais en sorte d’en dépendre le moins possible. Je vais devoir leur faire confiance, sauf que c’est hors de question.

votre avatar

TheKillerOfComputer a dit:


Ça a l’air moins sécurisé qu’un mot de passe…


il y a deux notions de sécurité dans ton commentaire. Ou plutot deux types de risque:




  1. le risque que qqn usurpe ton identité

  2. le risque de ne plus pouvoir prouver ton identité



avec les passkeys, le risque 1 est beaucoup plus faible qu’un mdp car ton ta clé privée ne quitte jamais, absolument jamais, l’appareil d’authentification. Au contraire d’un mdp qui circule en clair un peu partout: Keepass –> presse-papier –> formulaire du navigateur –> HTTP POST –> site web. Là ton mdp est exposé en clair à chaque transfert.



Par contre le risque 2 est plus fort car… ta clé privée ne quitte jamais, absolument jamais, l’appareil d’authentification. Le revers de la médaille en somme.



C’est un peu l’analogie avec la clé de ta porte blindée. Si tu la perds, tu ne peux plus rentrer chez toi. Donc il faut avoir un double. Mais comme dit ci-avant, l’idée c’est plutôt d’avoir une clé différente (=un accès différent avec un autre appareil)

votre avatar

Je suis content d’avoir apporté au débat :D :8



Je retiens donc :




  • clé dans une enclave, pas de solution de secours

  • clé dans un fichier chiffré, on peut le répliqué



Ouai, bah en gros c’est ce que je sous entendait au départ en fait :oops:

Les comptes Google acceptent les passkeys pour se connecter

Fermer