Les passkeys sont très similaires aux clés de sécurité FIDO2 (Yubikey, Nitrokey ...) dans leur fonctionnement : il s'agit de stocker une clé cryptographique dans la zone sécurisée d'un équipement tiers, avec une vérification de l'utilisateur pour déverrouiller l'accès (PIN pour FIDO2, biométrie ou autre pour les passkeys - pour répondre à Jarodd, il s'agit bien de biométrie (mais ça pourrait être un code PIN ou autre - le standard n'impose pas la biométrie), la présence utilisateur uniquement c'était avec FIDO U2F).
Avec FIDO2 et les passkeys il est possible de faire du passwordless et du MFA. Le protocole webauthn utilisé dans les 2 cas supporte aussi le loginless via les discoverable credentials.
De mon point de vue (discutable bien entendu), les passkeys sont simplement une entente entre éditeurs pour reprendre un standard existant et le rendre plus pratique pour les utilisateurs, avec des concessions sur la vie privée et la sécurité. Il y a quelques années il y avait des promesses de compatibilité entre écosystèmes (Google, Apple, Microsoft) pour pouvoir transférer des clés, mais je ne retrouve pas d'article sur le sujet. Aujourd'hui ce n'est pas terrible : - Il n'y a pas (encore ?) de "transférabilité" - Il y a des sauvegardes automatiques chez certains éditeurs : les clés créées sur Android et iPhone sont envoyées chez Google/Apple. - Les passkeys ne sont pas encore compatibles Linux, bien que des réflexions et travaux soient en cours. Je parle bien ici de la partie logicielle de l'OS pour l'authentification locale + utilisation d'un TPM : il est tout à fait possible d'utiliser actuellement une Yubikey/Nitrokey avec Firefox pour créer des passkeys sur des sites web.
Désolé pour la longueur mais il me paraissait important d'apporter ces précisions de contexte. En espérant ne pas trop "spoiler" sur le prochaine article de Vincent !
Il y a beaucoup de gens qui commencent le travail à ces heures-là (notamment en-dehors de Paris). De manière générale, les gens commencent à des heures différentes (voire pas tout le temps à la même heure), et souhaitent lire Le Brief dans des circonstances différentes, comme rappelé par Vincent. Le seul moyen de contenter tout le monde est donc de publier tôt.
L’idée de SebGF de faire plusieurs batchs à heure fixe est intéressante. Les lecteurs peuvent ainsi s’adapter aux publications régulières en fonction de leur contexte et de s’ils ont besoin d’avoir des news fraîches ou s’ils préfèrent attendre de tout lire d’un coup le matin, le midi ou le soir.
Le tour complet de l’actu tous les jours avec #LeBrief.
Des articles de fond de qualité.
Et une éthique geek comme on en retrouve plus ailleurs : indépendance, flux RSS complets, analyses juridiques, participation à des projets comme LaPresseLibre.
3 commentaires
Clés d’accès (passkeys) : leur importance et leur fonctionnement
07/06/2024
Le 08/06/2024 à 12h 12
Les passkeys sont très similaires aux clés de sécurité FIDO2 (Yubikey, Nitrokey ...) dans leur fonctionnement : il s'agit de stocker une clé cryptographique dans la zone sécurisée d'un équipement tiers, avec une vérification de l'utilisateur pour déverrouiller l'accès (PIN pour FIDO2, biométrie ou autre pour les passkeys - pour répondre à Jarodd, il s'agit bien de biométrie (mais ça pourrait être un code PIN ou autre - le standard n'impose pas la biométrie), la présence utilisateur uniquement c'était avec FIDO U2F).Avec FIDO2 et les passkeys il est possible de faire du passwordless et du MFA. Le protocole webauthn utilisé dans les 2 cas supporte aussi le loginless via les discoverable credentials.
De mon point de vue (discutable bien entendu), les passkeys sont simplement une entente entre éditeurs pour reprendre un standard existant et le rendre plus pratique pour les utilisateurs, avec des concessions sur la vie privée et la sécurité. Il y a quelques années il y avait des promesses de compatibilité entre écosystèmes (Google, Apple, Microsoft) pour pouvoir transférer des clés, mais je ne retrouve pas d'article sur le sujet. Aujourd'hui ce n'est pas terrible :
- Il n'y a pas (encore ?) de "transférabilité"
- Il y a des sauvegardes automatiques chez certains éditeurs : les clés créées sur Android et iPhone sont envoyées chez Google/Apple.
- Les passkeys ne sont pas encore compatibles Linux, bien que des réflexions et travaux soient en cours. Je parle bien ici de la partie logicielle de l'OS pour l'authentification locale + utilisation d'un TPM : il est tout à fait possible d'utiliser actuellement une Yubikey/Nitrokey avec Firefox pour créer des passkeys sur des sites web.
Désolé pour la longueur mais il me paraissait important d'apporter ces précisions de contexte.
En espérant ne pas trop "spoiler" sur le prochaine article de Vincent !
Quoi de neuf à la rédac #5 : les voyages forment la jeunesse (ou pas), les horaires (chaotiques) du brief
28/10/2023
Le 28/10/2023 à 17h 04
Il y a beaucoup de gens qui commencent le travail à ces heures-là (notamment en-dehors de Paris). De manière générale, les gens commencent à des heures différentes (voire pas tout le temps à la même heure), et souhaitent lire Le Brief dans des circonstances différentes, comme rappelé par Vincent. Le seul moyen de contenter tout le monde est donc de publier tôt.
L’idée de SebGF de faire plusieurs batchs à heure fixe est intéressante. Les lecteurs peuvent ainsi s’adapter aux publications régulières en fonction de leur contexte et de s’ils ont besoin d’avoir des news fraîches ou s’ils préfèrent attendre de tout lire d’un coup le matin, le midi ou le soir.
Concours des 15 ans : il vous reste jusqu’à demain soir pour participer et tenter votre chance
13/07/2018
Le 08/07/2018 à 08h 41
Le tour complet de l’actu tous les jours avec #LeBrief.
Des articles de fond de qualité.
Et une éthique geek comme on en retrouve plus ailleurs : indépendance, flux RSS complets, analyses juridiques, participation à des projets comme LaPresseLibre.
Merci et continuez comme ça !