Attention, il s'agit de la première version du standard, utilisée par nombre de modèles disponibles à petit prix, et non de l'implémentation FIDO2 qui est notamment exploitée pour WebAuthn et l'authentification sans mot de passe.
Les notes de version de cette nouvelle mouture précisent que ssh-keygen permet de générer une paire de clés publique/privée devant être utilisée conjointement avec un élément sécurisé pour être fonctionnelles. Sans, même la clé privée sera inutile. OpenSSH est désormais livré avec ce qu'il faut pour gérer de telles clés de sécurité via un port USB, d'autres pouvant être exploitées pour le Bluetooth ou NFC.
Une évolution bienvenue, et attendue par beaucoup depuis des années. Si Yubico avait travaillé au support de ses clés avec OpenSSH, il fallait en passer par quelques lignes de code et OpenPGP pour y parvenir. Reste maintenant à attendre qu'OpenSSH soit largement diffusé dans les distributions et que cette compatibilité soit reprise dans des outils tiers, telles que l'implémentation de Microsoft utilisée dans Windows 10 ou PuTTY et son générateur de clés par exemple.
Commentaires (12)
#1
Que se passe-t-il du coup si le hardware se casse ou est perdu ? La clef aussi car aucune alternative ?
#2
Oui, un peu comme si tu oublies ton mot de passe. Après les accès SSH peuvent se renouveller ou tu peux avoir une solution secondaire (autre clé sans 2FA mais avec une procédure spéciale pour la récupérer, seconde clé U2F/FIDO en backup, etc.)
#3
L’intérêt de l’intégration avec windows 10 (mais aussi avec les autres OS) c’est de pouvoir utiliser le PC et son systeme d’authentication (Hello pour MS). Plus besoin de clé USB, NFC ou Bluetooth, on pourra utiliser les modules de cryptographie intégrer et s’authentifier avec le lecteurs d’empreintes intégré par exemple ou autre (code PIN, reconnaissance faciale…).
Le risque de perte devient plus limité (on peut toujours perdre ou se faire voler son PC évidemment).
À noter aussi qu’on peut associer plusieurs clés donc si on en perd une ça n’est pas si grave.
#4
SSH permet facilement d’utiliser plusieurs clés, donc ce n’est pas compliqué d’avoir des solutions de secours