Abonnez-vous Connexion

Abonnez-vous

Nous suivre

À propos

Next, média indépendant, est soutenu par la société moji.

Elle lui assure une pérennité économique et lui permet de maintenir sa totale liberté éditoriale, d'expérimenter de nouvelles formes d'information et de garantir sa survie à long terme, sans dépendre d'annonceurs externes.

WebAutn finalisé : vers un web moins dépendant des mots de passe

Par Sébastien Gavois

Le 05 Mars 2019 à 09h37

1 min 13

En travaux depuis des années, l'API Web Authentication vise à standardiser l'accès aux dispositifs de connexion biométrique ou via des clés de sécurité (CTAPv2, FIDO2), utilisés seuls ou en complément à un mot de passe.

Déjà intégré à de nombreux navigateurs, utilisé par quelques services comme Hello dans Edge chez Microsoft, WebAuthn est désormais finalisé, annonce le W3C.

La certification FIDO2 récemment obtenue par Android devrait également faciliter l'adoption croissante de ce genre de solutions par les sites web et développeurs d'applications. Il n'y a désormais plus qu'à attendre des annonces en ce sens.

Granite : IBM lance son pavé dans la mare des modèles de langage pour la génération de code

Stack Overflow signe avec OpenAI

La RATP expérimente sa vidéosurveillance algorithmique pour les concerts de Taylor Swift

FurMark débarque en version 2.3, avec la prise en charge des Raspberry Pi

Boeing Starliner n’a finalement toujours pas décollé…

Chang’e 6 fait route vers la Lune, avec l’instrument français DORN

Pass Monitor : Proton Pass comble (enfin) certaines lacunes

Dirty Stream : quand une application Android peut écraser les fichiers d’une autre

Raspberry Pi Compute Module 4S : jusqu’à 8 Go de mémoire, production jusqu’en 2034

Calendrier de publication d’Ubuntu 24.10 (Oracular Oriole)

Commentaires (13)

OniriCorpe Abonné

Le 05/03/2019 à 10h12

Est-ce actuellement supporté (ou planifié) par Firefox ?

jpaul

Le 05/03/2019 à 10h49

Oui.

Soriatane Abonné

Le 05/03/2019 à 13h15

Et comme par hasard pas par Safari 🙄

Gersho

Le 05/03/2019 à 14h25

Pour ceux qui utilisent ce type de solutions, ça se passe comment en cas de perte/vol de la clef en question ?

anonyme_a2dd0459ec351982c190a3093a8e726f

Le 05/03/2019 à 16h00

La prise en charge de WebAuhn par Safari est bien prévue depuis Décembre ;)

https://www.zdnet.com/article/apple-killing-off-web-passwords-safari-trials-weba…

127.0.0.1

Le 05/03/2019 à 19h16

Le mot-de-passe a encore de beaux jours devant lui.

En matière d’autorisation d’accès sécurisée, rien ne remplace:

quelque-chose que vous êtes le seul à connaitre et pouvoir donner.

quelque-chose dont personne ne peut vous priver (vol/déstruction).

quelque-chose que vous pouvez changer facilement à tout moment.

La biométrie, ca ne respecte pas les points 1 et 3.

Les clés, ca ne respecte pas le point 2.

Et mettre les deux ensembles, ca ne compense pas mutuellement les faiblesses.

Bref, ces deux technos sont bien mais elles ne sont pas aussi bien qu’un mot-de-passe.

Soriatane Abonné

Le 05/03/2019 à 19h18

En espérant que cela soit aussi prévu pour la version iOS de webki voir une fonctionnalité d’iOS

33A20158-2813-4F0D-9D4A-FD05E2C42E48

Le 06/03/2019 à 08h59

Pareil.

Le problème d’un mot de passe c’est que ça s’oublie. Je pense que la solution devrait être de permettre de s’identifier de plusieurs manières différentes.

Soit avec une combinaison de plusieurs méthodes simples (mot de passe “simple” + envoi d’un code par SMS)

Soit avec une seule méthode mais “sécurisée” (mot de passe comprenant au moins trois lettres, quatre chiffres, un signe de ponctuation, un sinogramme et un dingbat)

La combinaison PIN/PUK des cartes SIM est un exemple de tel truc.

creatix Abonné

Le 06/03/2019 à 09h35

Tout dépend du site, il est parfois possible d’avoir plusieurs clés (et ainsi garder une clés en lieu sûr) ou alors il existe une authentification OTP complémentaire ou alors une liste de code OTP de secours.

Cumbalero

Le 06/03/2019 à 14h25

#10

33A20158-2813-4F0D-9D4A-FD05E2C42E48 a écrit :

Pareil.

Soit avec une combinaison de plusieurs méthodes simples (mot de passe “simple” + envoi d’un code par SMS)

C’est assez rare de considérer qu’un SMS puisse être sécurisé.

Fournir un numéro de téléphone à chaque service/site/éditeur susceptible de te demander une authentification, par contre, c’est très dans l’air du temps. Je te renvoie aux débats et commentaires sur les articles en question.

33A20158-2813-4F0D-9D4A-FD05E2C42E48

Le 07/03/2019 à 07h46

#11

Cumbalero a écrit :

C’est assez rare de considérer qu’un SMS puisse être sécurisé.

Fournir un numéro de téléphone à chaque service/site/éditeur 

Sur 1 : Le SMS n’était qu’un exemple de “truc simple” qu’on peut combiner dans un MFA. Le but était de donner un exemple qui ne demandait pas 3 pages de prolégomènes, pas une architecture de référence. Caramba, encore raté…

Sur 2 : Le principe même de OpenID connect / Webauth etc… est précisément que tu donnes ton numéro de tf et tes identifiants à un seul prestataire en qui tu as “confiance” (oui, je sais, ces prestataires d’identification sont actuellement Amazon, Google, Facebook et Microsoft, pas la peine de le rappeler) pour ne pas disséminer ces infos.

Cumbalero

Le 07/03/2019 à 09h29

#12

Non, pas raté. J’ai probablement mal formulé ma réponse.

Tu résumes très bien toutes mes réticences. Si je dois faire confiance à Google pour accéder à mon webmail GMX, c’est mort, si c’est pour France Connect, je sais pas si on peut faire plus mort que mort.

L’autre solution serait que l’État soit l’intermédiaire de confiance (en considérant que ça peut être une de ses missions). J’ai également de grosses réticences, bien renforcées par les délires des politiques, en place ou pas.

33A20158-2813-4F0D-9D4A-FD05E2C42E48

Le 07/03/2019 à 11h51

#13

Normalement, rien ne t’empêche de hoster toi-même ton serveur OpenID Connect sur un dédié… Pas sûr cependant que Facebook ou Caramail accepte de l’utiliser.

 

Fermer

❮

❯