Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

WebAutn finalisé : vers un web moins dépendant des mots de passe

WebAutn finalisé : vers un web moins dépendant des mots de passe

Le 05 mars 2019 à 09h37

En travaux depuis des années, l'API Web Authentication vise à standardiser l'accès aux dispositifs de connexion biométrique ou via des clés de sécurité (CTAPv2, FIDO2), utilisés seuls ou en complément à un mot de passe.

Déjà intégré à de nombreux navigateurs, utilisé par quelques services comme Hello dans Edge chez Microsoft, WebAuthn est désormais finalisé, annonce le W3C.

La certification FIDO2 récemment obtenue par Android devrait également faciliter l'adoption croissante de ce genre de solutions par les sites web et développeurs d'applications. Il n'y a désormais plus qu'à attendre des annonces en ce sens.

Le 05 mars 2019 à 09h37

Commentaires (13)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Est-ce actuellement supporté (ou planifié) par Firefox ?

votre avatar
votre avatar

Et comme par hasard pas par Safari 🙄

votre avatar

Pour ceux qui utilisent ce type de solutions, ça se passe comment en cas de perte/vol de la clef en question ?

votre avatar

La prise en charge de WebAuhn par Safari est bien prévue depuis Décembre ;)

https://www.zdnet.com/article/apple-killing-off-web-passwords-safari-trials-weba…

votre avatar

Le mot-de-passe a encore de beaux jours devant lui.



En matière d’autorisation d’accès sécurisée, rien ne remplace:




  1. quelque-chose que vous êtes le seul à connaitre et pouvoir donner.

  2. quelque-chose dont personne ne peut vous priver (vol/déstruction).

  3. quelque-chose que vous pouvez changer facilement à tout moment.



    La biométrie, ca ne respecte pas les points 1 et 3.

    Les clés, ca ne respecte pas le point 2.

    Et mettre les deux ensembles, ca ne compense pas mutuellement les faiblesses.



    Bref, ces deux technos sont bien mais elles ne sont pas aussi bien qu’un mot-de-passe.

votre avatar

En espérant que cela soit aussi prévu pour la version iOS de webki voir une fonctionnalité d’iOS

votre avatar

Pareil.



Le problème d’un mot de passe c’est que ça s’oublie. Je pense que la solution devrait être de permettre de s’identifier de plusieurs manières différentes.





  • Soit avec une combinaison de plusieurs méthodes simples (mot de passe “simple” + envoi d’un code par SMS)

  • Soit avec une seule méthode mais “sécurisée” (mot de passe comprenant au moins trois lettres, quatre chiffres, un signe de ponctuation, un sinogramme et un dingbat)



    La combinaison PIN/PUK des cartes SIM est un exemple de tel truc.

votre avatar

Tout dépend du site, il est parfois possible d’avoir plusieurs clés (et ainsi garder une clés en lieu sûr) ou alors il existe une authentification OTP complémentaire ou alors une liste de code OTP de secours.

votre avatar







33A20158-2813-4F0D-9D4A-FD05E2C42E48 a écrit :



Pareil.




  • Soit avec une combinaison de plusieurs méthodes simples (mot de passe “simple” + envoi d’un code par SMS)







    C’est assez rare de considérer qu’un SMS puisse être sécurisé.



    Fournir un numéro de téléphone à chaque service/site/éditeur susceptible de te demander une authentification, par contre, c’est très dans l’air du temps. Je te renvoie aux débats et commentaires sur les articles en question.


votre avatar







Cumbalero a écrit :



C’est assez rare de considérer qu’un SMS puisse être sécurisé.



Fournir un numéro de téléphone à chaque service/site/éditeur 





Sur 1 : Le SMS n’était qu’un exemple de “truc simple” qu’on peut combiner dans un MFA. Le but était de donner un exemple qui ne demandait pas 3 pages de prolégomènes, pas une architecture de référence. Caramba, encore raté…



Sur 2 : Le principe même de OpenID connect / Webauth etc… est précisément que tu donnes ton numéro de tf et tes identifiants à un seul prestataire en qui tu as “confiance” (oui, je sais, ces prestataires d’identification sont actuellement Amazon, Google, Facebook et Microsoft, pas la peine de le rappeler) pour ne pas disséminer ces infos.


votre avatar

Non, pas raté. J’ai probablement mal formulé ma réponse.



Tu résumes très bien toutes mes réticences. Si je dois faire confiance à Google pour accéder à mon webmail GMX, c’est mort, si c’est pour France Connect, je sais pas si on peut faire plus mort que mort.



L’autre solution serait que l’État soit l’intermédiaire de confiance (en considérant que ça peut être une de ses missions). J’ai également de grosses réticences, bien renforcées par les délires des politiques, en place ou pas.

votre avatar

Normalement, rien ne t’empêche de hoster toi-même ton serveur OpenID Connect sur un dédié… Pas sûr cependant que Facebook ou Caramail accepte de l’utiliser.

 

WebAutn finalisé : vers un web moins dépendant des mots de passe

Fermer