Google vient de l'annoncer sur son blog, « vous pouvez créer et utiliser des passkeys sur votre compte Google personnel ». Jusque-là peu présentes sur les plateformes et applications, le passage de Google à ce système pourrait signer l'accélération de leur adoption.
Comme nous vous l'expliquions en décembre dernier, elles ont pour mission de remplacer avantageusement les mots de passe qui accumulent les problèmes depuis longtemps. Elles se veulent plus simples d’utilisation et surtout plus sécurisées, en empêchant l’information identifiante d’être volée.
Google explique que les méthodes de connexion existantes continueront de fonctionner, notamment pour prendre en compte le fait qu'il existe encore des appareils qui ne les prennent pas en charge. « Toutefois, la création d'une passkey aujourd'hui présente des avantages en termes de sécurité, car elle nous permet d'accorder une plus grande attention aux identifications qui se font à l'aide de mots de passe », juge l'entreprise.
Commentaires (27)
#1
Ah. Enfin la fin du password et du 2FA.
Les gens vont p-e comprendre pourquoi Win11+TPM :)
#2
Enfin une bonne nouvelle ! Les mots de passe, c’est dépassé.
#3
Comme le contrôle se fera au niveau du smartphone apparemment, je ne vois pas en quoi ça va améliorer la sécurité. Combien de personnes ont un smartphone qui a 2 ans ou plus et donc ne reçoit plus aucune mise à jour de sécurité ? C’est mon cas avec un P9 Lite de + de 5 ans qui fonctionne très bien mais est complétement à la rue niveau sécurité, et je trouve qu’un mot de passe robuste est largement plus sûr que d’utiliser mon vieux smartphone pour valider les accès à ma banque, paypal, les impôts, etc.
#4
Je reste assez sceptique sur toute cette affaire, j’ai beau avoir lu pas mal de truc, je crois que mon Password + Clé physique, reste largement plus pratique ne nécessitant pas d’avoir mon smartphone sous la main.
#5
n’importe quelel personne qui te voit taper ton mdp peut récupérer ton mot-de-passe.
n’importe quel keylogger peut récupérer ton mot-de-passe.
n’importe quelle injection js peut récupérer ton mot-de-passe.
n’importe quelle attaque MiM peut récupérer ton mot-de-passe.
etc.
Je vois plein d’inconvénients aux passkeys. Mais certainement pas la sécurité.
#6
C’était simple à activer, Google m’a proposé plusieurs méthodes et j’ai choisi mon code PIN Windows Hello, méthode que j’utilises aussi pour ma banque, ca fonctionne.
#7
Je n’ai peut-être pas compris toutes les subtilités de ce nouveau mécanisme, mais j’ai l’impression qu’au final, ça déporte la sécurité sur le smartphone.
Et comme la sécurité d’une chaîne ne tient qu’à son maillon le plus faible …
Et que celle d’un smartphone ne tient dès fois à pas grand chose (cf news sur le vol d’iPhone + code).
Comment se protéger alors que le déverrouillage du smartphone est fait au vu de tous ?
#7.1
(et encore…)
Facile, il te suffira de brancher a ton téléphone une clé OTG qui contiendra le mot de passe de déverrouillage du téléphone.
#7.2
J’ai aussi l’impression que ça ne fait que déporter le problème sans le résoudre.
Cela règle certains aspects de la sécurité mais cela apporte d’autres soucis, qui ne sont pas forcément moindres que ceux d’avant. Il faut avoir confiance dans l’appareil et un téléphone par exemple n’est clairement pas un appareil de confiance… surtout s’il est facile à perdre, casser, se faire voler.
#8
Moi je comprends surtout que d’un coup tu perds tout … c’est fort pratique.
Je me suis retrouvé bien bien con quand mon ordi portable avec TPM est tombé en rade avec masse de clés dedans.
Ou juste la perte du smartphone
Aujourd’hui (avec une clé de secours en plus), je trouve ça le plus secure.
n’importe quel machine tombe en pane
n’importe quelle machine se fait voler / perdre
n’importe quelle machine peut tomber sur un enfant / un animal
Le jours où tu “perds” le terminal de confiance t’es encore plus dans la merde qu’autre chose.
Testé avec la clé de chiffrement bitlocker sur la puce TPM 2.0 de mon Lenovo Thinkpad qui n’était plus sous garantie …
#9
#10
hmm… ca se réplique les passkeys.
Tu peux les sauvegarder/archiver sur le support de ton choix, ou sur le cloud.
Tu peux les synchroniser sur plusieurs appareils (via un cloud, ou en direct/proximité).
Basiquement, un trousseau de passkeys c’est juste un fichier chiffré qui contient des clés privés/publiques, avec un chiffrement/déchiffrement propre à chaque appareil.
#11
Tout cela est d’un compliqué !
#12
Ah bon ? Ce n’est pas lié à une puce type enclave sécurisé (TPM, titan, etc) c’est ce qui est vanté pour la mise en avant de la sécurité.
Et là justement comme évoque the_Gream_Reaper > plus de puce, plus de chocolat, alors qu’un trousseau non lié au matériel est duplicable.
#13
Mais donc si ça se réplique comment est assuré la sécurité pour ne pas que ça leak ?
#14
Analogie. Forcément foireuse, donc je m’attends à des tombereaux d’insultes par les experts.
Mais bon, allons-y:
un fichier zip chiffré, qui contient un autre fichier zip chiffré, qui contient des clés privée/publique des comptes web.
pour accéder aux clés des comptes web, il faut à la fois la clé de l’appareil et la clé de l’utilisateur.
les clés des comptes web sont utilisées pour faire de l’authentification Challenge/Response (comme NTLM): le site web demande “chiffre moi le mot ‘azerty’ avec ta clé privée, et si tu y arrives c’est que c’est bien toi”.
Pour la synchro par un cloud, ca se passe comme si le cloud était un appareil avec sa propré clé (TPM). Une fois les appareils et le cloud reliés (=autorisés à discuter entre-eux), les *.key sont transférés via connexions chiffrés et stockés dans le zip-de-zip de chaque appareil.
#14.1
L’analogie me va.
Et donc, est-il possible ou non de dupliquer une “clé d’appareil” ?
De ce que j’en ai retenu ; c’est non ; d’où le problème que me pose ce genre de solution
#15
Bah si c’est une puce TPM qui gère cette clé, non.
La spec de webauthn ne définit pas de protocole de backup.
Ca peut faire peur, j’avoue.
Mais l’idée c’est que:
si c’est un réel besoin, c’est aux fabricants de fournir des extensions pour le faire (exemple)
l’idée pour palier la perte des clés ce n’est pas de cloner les clés existantes, mais de créer des nouvelles clés.
En gros, au lieu d’acheter deux appareils et de chercher à les synchroniser, tu enregistres une clé (différente) sur chaque appareil. Un peu comme si tu pouvais créer plusieurs password pour un même compte.
#15.1
C’est une solution, une étape de gestion supplémentaire.
Après la règle des 3.2.1 pour les sauvegardes, la même chose pour les passkeys, quelle simplicité
edit: mal lu, 2 mdp différents pour un compte, mieux
#16
Pour appuyer mon propos:
#17
Si ca vous intéresse, voici un récent débat sur le forum de GrapheneOS avec des questions et réponses intéressantes.
https://discuss.grapheneos.org/d/4834-what-is-your-opinion-on-the-new-passkey-release-of-google
Rassurez-vous, on est pas les seules à se poser des questions.
Pour l’instant, de loin j’aime vraiment bien l’idée de Passkey , mais c’est un concept très nouveau, bien que Google en rêve depuis 10 ans, mais personne n’était prêt à ce moment là.
#18
Je pense que Webauthn est une solution idéale pour la nouvelle génération qui vit et meurt par le(s) smartphone(s).
Pour moi qui utilise principalement de PC windows (et laptop/mac), ce n’est pas idéal du tout car ce n’est pas intégré dans ces plateformes.: il faut acheter plusieurs authenticators (clé yubico), paramétrer des trucs dans les navigateurs/OS, etc.
Avec win11et TPM, ca va déjà aller mieux. Mais pour mon cas perso il faudra encore attendre un moment pour que ca soit idéal.
#19
Ça a l’air moins sécurisé qu’un mot de passe…
Ou plutôt, ça cause une externalisation de la confiance. Keepass et mes mots de passe tous différents, je les contrôle et je suis confiant sur ma capacité à gérer et au pire à corriger si un service web s’est encore fait pirater car la sécurité leur était trop chère…
Les passkeys, je n’en ai pas le contrôle. C’est l’équipement qui gère et par sécurité du fait du risque de défaillance hardware (ma hantise), j’aurai à devenir dépendant des grands du web pour qu’ils gardent la clé privée… alors que je fais en sorte d’en dépendre le moins possible. Je vais devoir leur faire confiance, sauf que c’est hors de question.
#20
il y a deux notions de sécurité dans ton commentaire. Ou plutot deux types de risque:
avec les passkeys, le risque 1 est beaucoup plus faible qu’un mdp car ton ta clé privée ne quitte jamais, absolument jamais, l’appareil d’authentification. Au contraire d’un mdp qui circule en clair un peu partout: Keepass –> presse-papier –> formulaire du navigateur –> HTTP POST –> site web. Là ton mdp est exposé en clair à chaque transfert.
Par contre le risque 2 est plus fort car… ta clé privée ne quitte jamais, absolument jamais, l’appareil d’authentification. Le revers de la médaille en somme.
C’est un peu l’analogie avec la clé de ta porte blindée. Si tu la perds, tu ne peux plus rentrer chez toi. Donc il faut avoir un double. Mais comme dit ci-avant, l’idée c’est plutôt d’avoir une clé différente (=un accès différent avec un autre appareil)
#21
Je suis content d’avoir apporté au débat
Je retiens donc :
Ouai, bah en gros c’est ce que je sous entendait au départ en fait