En travaux depuis des années, l'API Web Authentication vise à standardiser l'accès aux dispositifs de connexion biométrique ou via des clés de sécurité (CTAPv2, FIDO2), utilisés seuls ou en complément à un mot de passe.
Déjà intégré à de nombreux navigateurs, utilisé par quelques services comme Hello dans Edge chez Microsoft, WebAuthn est désormais finalisé, annonce le W3C.
La certification FIDO2 récemment obtenue par Android devrait également faciliter l'adoption croissante de ce genre de solutions par les sites web et développeurs d'applications. Il n'y a désormais plus qu'à attendre des annonces en ce sens.
Commentaires (13)
#1
Est-ce actuellement supporté (ou planifié) par Firefox ?
#2
Oui.
#3
Et comme par hasard pas par Safari 🙄
#4
Pour ceux qui utilisent ce type de solutions, ça se passe comment en cas de perte/vol de la clef en question ?
#5
La prise en charge de WebAuhn par Safari est bien prévue depuis Décembre ;)
https://www.zdnet.com/article/apple-killing-off-web-passwords-safari-trials-weba…
#6
Le mot-de-passe a encore de beaux jours devant lui.
En matière d’autorisation d’accès sécurisée, rien ne remplace:
La biométrie, ca ne respecte pas les points 1 et 3.
Les clés, ca ne respecte pas le point 2.
Et mettre les deux ensembles, ca ne compense pas mutuellement les faiblesses.
Bref, ces deux technos sont bien mais elles ne sont pas aussi bien qu’un mot-de-passe.
#7
En espérant que cela soit aussi prévu pour la version iOS de webki voir une fonctionnalité d’iOS
#8
Pareil.
Le problème d’un mot de passe c’est que ça s’oublie. Je pense que la solution devrait être de permettre de s’identifier de plusieurs manières différentes.
La combinaison PIN/PUK des cartes SIM est un exemple de tel truc.
#9
Tout dépend du site, il est parfois possible d’avoir plusieurs clés (et ainsi garder une clés en lieu sûr) ou alors il existe une authentification OTP complémentaire ou alors une liste de code OTP de secours.
#10
#11
#12
Non, pas raté. J’ai probablement mal formulé ma réponse.
Tu résumes très bien toutes mes réticences. Si je dois faire confiance à Google pour accéder à mon webmail GMX, c’est mort, si c’est pour France Connect, je sais pas si on peut faire plus mort que mort.
L’autre solution serait que l’État soit l’intermédiaire de confiance (en considérant que ça peut être une de ses missions). J’ai également de grosses réticences, bien renforcées par les délires des politiques, en place ou pas.
#13
Normalement, rien ne t’empêche de hoster toi-même ton serveur OpenID Connect sur un dédié… Pas sûr cependant que Facebook ou Caramail accepte de l’utiliser.