IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Les "passkeys" d'Apple pourraient enfin mettre un terme aux mots de passe pour de bon


Sujet :

Sécurité

  1. #21
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 939
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 939
    Points : 158 384
    Points
    158 384
    Par défaut Un système sans mot de passe donnera-t-il trop de pouvoir aux grandes entreprises technologiques ?
    Un système sans mot de passe donnera-t-il trop de pouvoir aux grandes entreprises technologiques ?
    La FIDO Alliance tente de rendre les mots de passe obsolètes

    La protection par mot de passe a été l'aspect fondamental de la cybersécurité en ligne pendant des décennies, mais l'évolution rapide des techniques de piratage et des logiciels malveillants a nécessité l'arrivée d'une nouvelle façon de faire : l'authentification à plusieurs facteurs. De nombreuses entreprises sont passées à ce mode d'authentification en raison du fait que c'est le genre de chose qui pourrait potentiellement finir par créer une couche de défense supplémentaire, et le résultat final naturel de cette progression semble être un monde entièrement dépourvu de mots de passe.

    La FIDO (pour Fast IDentity Online), une alliance de plusieurs entreprises (parmi lesquelles de Google, Apple, Meta et Microsoft) qui existe depuis 2013 tente d'accélérer l'obsolescence des mots de passe. En collaboration avec le World Wide Web Consortium, FIDO travaille à la création et à la mise en œuvre de normes pour un Internet largement exempt de mots de passe. Selon le blog de l'alliance, ces normes sont déjà supportées par des milliards d'appareils et par tous les navigateurs web modernes.

    Concrètement, il est prévu d'implémenter la prise en charge des normes de connexion FIDO sans mot de passe sur toutes les plateformes. Google mentionne Chrome, ChromeOS et Android. La mise en œuvre devrait avoir lieu cette année encore. Au lieu d'un mot de passe, une autorisation FIDO, appelée passkey, pourra être enregistrée sur le smartphone de l'utilisateur. Ce code confirme l'inscription à un service en ligne. L'autorisation de paiement par carte de crédit fonctionne de manière similaire avec 3D-Secure 2.0.

    « Dans un effort conjoint pour rendre le Web plus sûr et utilisable par tous, Apple, Google et Microsoft ont annoncé aujourd'hui leur intention d'étendre la prise en charge d'une norme commune de connexion sans mot de passe créée par l'Alliance FIDO et le World Wide Web Consortium. La nouvelle fonctionnalité permettra aux sites Web et aux applications d'offrir aux consommateurs des connexions sans mot de passe cohérentes, sécurisées et faciles sur tous les appareils et plates-formes.

    « L'authentification par mot de passe uniquement est l'un des plus gros problèmes de sécurité sur le Web, et la gestion d'un si grand nombre de mots de passe est fastidieuse pour les consommateurs, ce qui conduit souvent les consommateurs à réutiliser les mêmes dans tous les services. Cette pratique peut entraîner des prises de contrôle de compte coûteuses, des violations de données et même des identités volées. Alors que les gestionnaires de mots de passe et les anciennes formes d'authentification à deux facteurs offrent des améliorations progressives, il y a eu une collaboration à l'échelle de l'industrie pour créer une technologie de connexion plus pratique et plus sécurisée.

    « Les capacités étendues basées sur des normes donneront aux sites Web et aux applications la possibilité d'offrir une option sans mot de passe de bout en bout. Les utilisateurs se connecteront par la même action qu'ils effectuent plusieurs fois par jour pour déverrouiller leurs appareils, comme une simple vérification de leur empreinte digitale ou de leur visage, ou un code PIN d'appareil. Cette nouvelle approche protège contre le phishing et la connexion sera radicalement plus sécurisée par rapport aux mots de passe et aux technologies multifactorielles héritées telles que les codes d'accès à usage unique envoyés par SMS ».

    Des centaines d'entreprises technologiques et de fournisseurs de services du monde entier ont travaillé au sein de l'Alliance FIDO et du W3C pour créer les normes de connexion sans mot de passe qui sont déjà prises en charge par des milliards d'appareils et tous les navigateurs Web modernes. Apple, Google et Microsoft ont dirigé le développement de cet ensemble étendu de fonctionnalités et intègrent désormais la prise en charge dans leurs plateformes respectives.

    Les plateformes de ces entreprises prennent déjà en charge les normes FIDO Alliance pour permettre une connexion sans mot de passe sur des milliards d'appareils de pointe, mais les implémentations précédentes obligent les utilisateurs à se connecter à chaque site Web ou application avec chaque appareil avant de pouvoir utiliser la fonctionnalité sans mot de passe. L'annonce de la FIDO étend ces implémentations de plate-forme pour offrir aux utilisateurs deux nouvelles fonctionnalités pour des connexions sans mot de passe plus transparentes et sécurisées :
    • Autoriser les utilisateurs à accéder automatiquement à leurs identifiants de connexion FIDO (que certains appellent une « clé d'accès ») sur bon nombre de leurs appareils, même les nouveaux, sans avoir à réinscrire chaque compte.
    • Permettre aux utilisateurs d'utiliser l'authentification FIDO sur leur appareil mobile pour se connecter à une application ou à un site Web sur un appareil à proximité, quelle que soit la plateforme du système d'exploitation ou le navigateur qu'ils exécutent.
    • En plus de faciliter une meilleure expérience utilisateur, le large support de cette approche basée sur des normes permettra aux fournisseurs de services d'offrir des informations d'identification FIDO sans avoir besoin de mots de passe comme méthode alternative de connexion ou de récupération de compte.

    Ces nouvelles fonctionnalités devraient être disponibles sur les plateformes Apple, Google et Microsoft au cours de l'année à venir.

    Nom : telephone.png
Affichages : 1396
Taille : 112,8 Ko

    Votre téléphone pourrait bientôt remplacer plusieurs de vos mots de passe

    Les experts ont estimé que les changements devraient aider à vaincre de nombreux types d'attaques de phishing et à alléger le fardeau global des mots de passe pour les internautes, mais avertissent qu'un véritable avenir sans mot de passe peut encore prendre des années pour la plupart des sites Web.

    Cependant, certains estiment que cela pourrait enfermer les utilisateurs dans un écosystème particulier. Prenant le cas d'une authentification avec Face ID sur iPhone, un expert s'interroge : « Si tout, de votre compte bancaire à votre compte Twitter, n'est accessible que par la reconnaissance faciale, votre iPhone deviendra encore plus important et cela pourrait vous décourager de vous éloigner de cet écosystème. Google, Amazon et la plupart des autres grandes entreprises technologiques soutiennent également l'initiative, mais cet effet secondaire potentiel involontaire est toujours à prendre en compte. Les utilisateurs ont déjà du mal à passer d'iOS à Android et vice versa, et cette nouvelle initiative pourrait rendre les choses encore plus prononcées ».

    Certains suggèrent une solution basée sur la blockchain dans laquelle votre identifiant facial est stocké en toute sécurité sous la forme d'un NFT, car cela retirerait le contrôle des mains des grandes entreprises technologiques. Cependant, il reste à voir si l'une de ces solutions est durable, sinon nous pourrions continuer à nous fier aux mots de passe pour verrouiller nos comptes.

    Sampath Srinivas, directeur de l'authentification de sécurité chez Google et président de l'Alliance FIDO, a déclaré que dans le cadre du nouveau système, votre téléphone stockera un identifiant FIDO appelé passkey qui est utilisé pour déverrouiller votre compte en ligne.

    « Le mot de passe rend la connexion beaucoup plus sécurisée, car il est basé sur la cryptographie à clé publique et n'est affiché sur votre compte en ligne que lorsque vous déverrouillez votre téléphone », a écrit Srinivas. « Pour vous connecter à un site Web sur votre ordinateur, vous aurez juste besoin de votre téléphone à proximité et vous serez simplement invité à le déverrouiller pour y accéder. Une fois que vous avez fait cela, vous n'aurez plus besoin de votre téléphone et vous pourrez vous connecter en déverrouillant simplement votre ordinateur ».

    Comme l'alliance FIDO le rappelle, Apple, Google et Microsoft prennent déjà en charge ces normes sans mot de passe (par exemple, "Se connecter avec Google"), mais les utilisateurs doivent se connecter sur chaque site Web pour utiliser la fonctionnalité sans mot de passe. Dans le cadre de ce nouveau système, les utilisateurs pourront accéder automatiquement à leur mot de passe sur plusieurs de leurs appareils - sans avoir à réinscrire chaque compte - et utiliser leur appareil mobile pour se connecter à une application ou à un site Web sur un appareil à proximité.

    Johannes Ullrich, doyen de la recherche au SANS Technology Institute, a estimé que cette annonce est « de loin l'effort le plus prometteur pour résoudre le défi de l'authentification » : « La partie la plus importante de cette norme est qu'elle n'obligera pas les utilisateurs à acheter un nouvel appareil, mais à la place, ils pourront utiliser des appareils qu'ils possèdent déjà et qu'ils savent utiliser comme authentificateurs », s'est réjouit Ullrich.

    Steve Bellovin, professeur d'informatique à l'Université de Columbia et l'un des premiers chercheurs et pionniers d'Internet, pense que cette initiative de suppression des mots de passe est une « énorme avancée » dans l'authentification, mais a déclaré qu'il faudra beaucoup de temps pour que de nombreux sites Web rattrapent leur retard.

    Bellovin et d'autres disent qu'un scénario potentiellement délicat dans ce nouveau schéma d'authentification sans mot de passe est ce qui se passe lorsque quelqu'un perd son appareil mobile ou que son téléphone tombe en panne et qu'il ne peut pas se souvenir de son mot de passe iCloud.

    « Je m'inquiète pour les personnes qui n'ont pas les moyens d'acheter un appareil supplémentaire ou qui ne peuvent pas facilement remplacer un appareil cassé ou volé », a déclaré Bellovin. « Je m'inquiète de la récupération de mot de passe oublié pour les comptes cloud ».

    Google indique que même si vous perdez votre téléphone, « vos clés d'accès seront synchronisées en toute sécurité avec votre nouveau téléphone à partir de la sauvegarde dans le cloud, vous permettant de reprendre là où votre ancien appareil s'est arrêté ».

    Apple et Microsoft ont également des solutions de sauvegarde dans le cloud dont les clients utilisant ces plateformes pourraient se servir pour récupérer à partir d'un appareil mobile perdu. Mais Bellovin a déclaré que beaucoup dépendait de la sécurité de l'administration de ces systèmes cloud : « Est-il facile d'ajouter la clé publique d'un autre appareil à un compte, sans autorisation ? » s'est demandé Bellovin. « Je pense que leurs protocoles rendent cela impossible, mais d'autres ne sont pas d'accord ».

    Source : FIDO Alliance

    Et vous ?

    Avez-vous déjà utilisé un outil d'authentification différent de votre mot de passe sur votre téléphone (par exemple votre empreinte digitale) lorsque vous vous connectiez sur une application compatible (WhatsApp, certaines applications bancaires ainsi que d'autres types d'applications) ?
    Avez-vous déjà été obligé d'utiliser votre téléphone pour vous connecter à un service (par exemple les services Google lorsque vous voulez utiliser votre compte YouTube sur la télé ou votre compte Gmail sur votre ordinateur) ?
    Qu'en pensez-vous dans l'absolu ? Préférez-vous que l'utilisation d'un autre outil pour l'authentification devrait être proposée par défaut ou devrait-elle être activable par l'utilisateur s'il le désire ?
    Un système sans mot de passe donnera-t-il trop de pouvoir aux grandes entreprises technologiques ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #22
    Membre chevronné
    Homme Profil pro
    Développeur
    Inscrit en
    août 2003
    Messages
    714
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur

    Informations forums :
    Inscription : août 2003
    Messages : 714
    Points : 1 840
    Points
    1 840
    Par défaut
    Pour l'identification SSH, j'utilise la connexion via les clés depuis quelques temps.

    Personnellement, je compte garder quand même une majorité de mots de passe et je les enregistre pour les sites peu sensibles (forum Développez par exemple)

    J'ai de la double identification pour les plus sensibles

  3. #23
    Membre du Club
    Homme Profil pro
    Travailleur acharné
    Inscrit en
    juillet 2020
    Messages
    11
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 24
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Travailleur acharné
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2020
    Messages : 11
    Points : 49
    Points
    49
    Par défaut
    Quand je vois qu'il est possible de prendre le contrôle et de récupérer l'ensemble des données juste avec un numéro de téléphone (remember Pegasus) je vois pas en quoi le soucis sera réglé

  4. #24
    Membre confirmé
    Homme Profil pro
    Consultant en Business Intelligence
    Inscrit en
    décembre 2021
    Messages
    324
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Consultant en Business Intelligence

    Informations forums :
    Inscription : décembre 2021
    Messages : 324
    Points : 489
    Points
    489
    Par défaut
    Bonsoir,

    Un système sans mot de passe donnera-t-il trop de pouvoir aux grandes entreprises technologiques ?
    Oui

    La FIDO Alliance tente de rendre les mots de passe obsolètes

    Avez-vous déjà utilisé un outil d'authentification différent de votre mot de passe sur votre téléphone (par exemple votre empreinte digitale) lorsque vous vous connectiez sur une application compatible (WhatsApp, certaines applications bancaires ainsi que d'autres types d'applications) ?
    Oui , j'ai déjà utilisé un token .

    Avez-vous déjà été obligé d'utiliser votre téléphone pour vous connecter à un service (par exemple les services Google lorsque vous voulez utiliser votre compte YouTube sur la télé ou votre compte Gmail sur votre ordinateur) ?
    Tout à fait pour accéder aux infos de sécu d'une adresse mail Microsoft. J'autorise la réception d'un appel téléphonique sur ma ligne GSM ET fixe. Pour pirater une ligne fixe faut déjà y aller Même par fibre ou réseau cuivré usuel.

    Qu'en pensez-vous dans l'absolu ?
    Hyper sécuriser l'accès aux params de sécu pourquoi pas. Par contre devoir recevoir un SMS si je veux ouvrir mon PC, en vacances , sans connection internet , pour aller sur word ou outlook, hors de question . A imposer de la norme trop lourde les GAFAM vont rétropédaler.

    Préférez-vous que l'utilisation d'un autre outil pour l'authentification devrait être proposée par défaut ou devrait-elle être activable par l'utilisateur s'il le désire ?
    Quand je suis à domicile, je n'ai ni l'envie , ni forcement le temps d'avoir un process lourd , pour me connecter à mon PC perso avec un bricolage protocolaire avec réception de SMS .

    Quid si l'on me vole mon GSM et que je n'ai pas la possibilité d'ouvrir mon PC ? Ainsi les GAFAM me priveraient de l'utilisation mon matériel informatique ?

    J'imagerais la situation comme suit :

    > vous perdez vos clefs
    > vous appelez le serrurier depuis la ligne fixe de votre voisin
    > le serrurier refuserez de changer votre serrure, au motif que vous n’appelez pas de votre ligne fixe perso

    Situation qui relève quasi de la schizophrénie ^^ Pourtant , c'est ceux vers quoi on se dirige si l'on écoute de manière sainte et religieuse les gafam. Un monde dystopique et idéaliste .

    Un système sans mot de passe donnera-t-il trop de pouvoir aux grandes entreprises technologiques ?
    Parfaitement !

    De quel droit Google ou Microsoft, aurait le droit de m'autoriser ou non à utiliser un matériel que j'ai acheté et dont je suis propriétaire ?

    C'est comme ci Peugeot ou Renault interdisaient aux proprios de monospace vert de circuler ... alors que vous êtres bien le proprio légal ^^

  5. #25
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 939
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 939
    Points : 158 384
    Points
    158 384
    Par défaut Les "passkeys" d'Apple pourraient enfin mettre un terme aux mots de passe pour de bon
    Les "passkeys" d'Apple pourraient enfin mettre un terme aux mots de passe pour de bon,
    Apple a fait la démonstration de sa nouvelle norme de connexion biométrique à l'occasion de la WWDC

    Apple a présenté ses passkeys à l'édition 2022 de la WWDC, une nouvelle norme de connexion biométrique qui pourrait enfin mettre un terme aux mots de passe pour de bon. Comme Apple l'explique : « les passkeys utilisent les informations d'identification de la clé publique iCloud Keychain, éliminant ainsi le besoin de mots de passe. Au lieu de cela, ils s'appuient sur une identification biométrique telle que Touch ID et Face ID dans iOS, ou sur une confirmation spécifique dans macOS pour générer et authentifier des comptes. En tant qu'authentificateur, votre appareil Apple génère une paire de clés publique-privée unique pour chaque compte qu'il crée sur un service. L'authentificateur conserve la clé privée et partage sa clé publique avec le serveur, appelé partie utilisatrice ».

    L'utilisation d'un mot de passe est la méthode la plus populaire pour accéder à un compte, que ce soit sur un ordinateur personnel ou une plateforme distante. Cela dit, il est confronté à plusieurs enjeux, notamment la mémorisation, qui devient de plus en plus pertinente en raison de la multiplication du nombre de services nécessitant un mot de passe, et la compromission dont il peut faire l'objet.

    De nombreuses études montrent chaque année l'ampleur des violations de données liées à la compromission des mots de passe. Plusieurs facteurs sont à l'origine de ce problème, dont deux des plus connus sont la rétention, qui contraint parfois certains utilisateurs à partager leurs mots de passe avec leurs collègues, et l'utilisation du même mot de passe pour plusieurs comptes. Par exemple, selon une étude de la société de cybersécurité Yubico (inventeur de la clé de sécurité Yubikey) et l'institut Ponemon en 2019, 69 % des employés révèlent leurs mots de passe à leurs collègues. Dans le cadre de l'édition 2020 de la journée du mot de passe,

    Balbix, fournisseur de système de sécurité pour aider les entreprises à transformer leur posture de cybersécurité et à réduire de manière quantifiable leur risque de violation, a publié un rapport sur l'état de l'utilisation des mots de passe. Le rapport montre que 99 % des utilisateurs réutilisent leur mot de passe sur près de trois comptes en raison du désir de commodité et de rapidité lors de la navigation sur les différents comptes. Le rapport de Balbix estime qu'en moyenne, chaque mot de passe d'utilisateur est partagé entre 2,7 comptes.

    Nom : cle.png
Affichages : 1631
Taille : 12,1 Ko

    Face à la situation, les grandes enseignes technologiques Google, Apple et Microsoft optent pour une approche sans mot de passe.

    Aussi, depuis septembre 2021, toute personne possédant un compte Microsoft peut désormais supprimer complètement son mot de passe du compte pour disposer d'une autre alternative de sécurité. Le vice-président de Microsoft, Vasu Jakka, l'a annoncé dans un billet de blog :

    « Nous sommes censés créer des mots de passe complexes et uniques, les mémoriser et les modifier fréquemment, mais personne n'aime faire cela non plus. Dans un récent sondage sur Twitter de Microsoft, une personne sur cinq a déclaré qu'elle préférait accidentellement "répondre à tous" – ce qui peut être monumentalement embarrassant – plutôt que de réinitialiser un mot de passe(...).

    « À partir d'aujourd'hui, vous pouvez désormais supprimer complètement le mot de passe de votre compte Microsoft. Utilisez l'application Microsoft Authenticator, Windows Hello, une clé de sécurité ou un code de vérification envoyé à votre téléphone ou par e-mail pour vous connecter à vos applications et services préférés, tels que Microsoft Outlook, Microsoft OneDrive, Microsoft Family Safety, etc. Cette fonctionnalité sera déployée dans les semaines à venir.

    « Passez à une authentification sans mot de passe en quelques clics rapides ».

    L'alternative d'Apple

    Les passkeys sont basées sur l'API d'authentification Web (WebAuthn), une norme qui utilise la cryptographie à clé publique au lieu des mots de passe pour authentifier les utilisateurs sur les sites Web et les applications, et sont stockées sur l'appareil plutôt que sur un serveur Web. Le remplacement du mot de passe numérique utilise Touch ID ou Face ID pour la vérification biométrique, ce qui signifie qu'au lieu d'avoir à saisir une longue chaîne de caractères, une application ou un site Web auquel vous vous connectez enverra une demande d'authentification à votre téléphone.

    Au cours de sa démonstration WWDC de la technologie sans mot de passe, Apple a montré comment les clés d'accès sont sauvegardées dans le trousseau iCloud et peuvent être synchronisées sur Mac, iPhone, iPad et Apple TV avec un cryptage de bout en bout. Les utilisateurs pourront également se connecter à des sites Web et à des applications sur des appareils non Apple à l'aide d'un iPhone ou d'un iPad pour scanner un code QR et Touch ID ou Face ID pour s'authentifier.

    « Parce qu'il suffit d'un simple clic pour se connecter, c'est à la fois plus facile, plus rapide et plus sécurisé que presque toutes les formes d'authentification courantes aujourd'hui », a déclaré Garrett Davidson, ingénieur Apple de l'équipe Authentication Experience,

    Apple n'est pas seul dans ses efforts pour tuer le mot de passe. Le mois dernier, Google et Microsoft se sont associés à Apple pour étendre la prise en charge des connexions sans mot de passe sur les mobiles, les ordinateurs de bureau et les navigateurs. Ce nouvel engagement collectif a été salué par Jen Easterly, directrice de la U.S. Cybersecurity and Infrastructure Security Agency (CISA), qui à l'époque l'a qualifié de « type de pensée avant-gardiste qui, en fin de compte, assurera la sécurité des Américains en ligne ».

    C'est par le biais de la FIDO (pour Fast IDentity Online), une alliance qui existe depuis 2013, que les entreprises se sont exprimées. En collaboration avec le World Wide Web Consortium, FIDO travaille à la création et à la mise en œuvre de normes pour un Internet largement exempt de mots de passe. Selon le blog de l'alliance, ces normes sont déjà supportées par des milliards d'appareils et par tous les navigateurs web modernes.

    Concrètement, il est prévu d'implémenter la prise en charge des normes de connexion FIDO sans mot de passe sur toutes les plateformes. Google mentionne Chrome, ChromeOS et Android. La mise en œuvre devrait avoir lieu cette année encore. Au lieu d'un mot de passe, une autorisation FIDO, appelée passkey, pourra être enregistrée sur le smartphone de l'utilisateur. Ce code confirme l'inscription à un service en ligne. L'autorisation de paiement par carte de crédit fonctionne de manière similaire avec 3D-Secure 2.0.

    « Dans un effort conjoint pour rendre le Web plus sûr et utilisable par tous, Apple, Google et Microsoft ont annoncé aujourd'hui leur intention d'étendre la prise en charge d'une norme commune de connexion sans mot de passe créée par l'Alliance FIDO et le World Wide Web Consortium. La nouvelle fonctionnalité permettra aux sites Web et aux applications d'offrir aux consommateurs des connexions sans mot de passe cohérentes, sécurisées et faciles sur tous les appareils et plates-formes.

    « L'authentification par mot de passe uniquement est l'un des plus gros problèmes de sécurité sur le Web, et la gestion d'un si grand nombre de mots de passe est fastidieuse pour les consommateurs, ce qui conduit souvent les consommateurs à réutiliser les mêmes dans tous les services. Cette pratique peut entraîner des prises de contrôle de compte coûteuses, des violations de données et même des identités volées. Alors que les gestionnaires de mots de passe et les anciennes formes d'authentification à deux facteurs offrent des améliorations progressives, il y a eu une collaboration à l'échelle de l'industrie pour créer une technologie de connexion plus pratique et plus sécurisée.

    « Les capacités étendues basées sur des normes donneront aux sites Web et aux applications la possibilité d'offrir une option sans mot de passe de bout en bout. Les utilisateurs se connecteront par la même action qu'ils effectuent plusieurs fois par jour pour déverrouiller leurs appareils, comme une simple vérification de leur empreinte digitale ou de leur visage, ou un code PIN d'appareil. Cette nouvelle approche protège contre le phishing et la connexion sera radicalement plus sécurisée par rapport aux mots de passe et aux technologies multifactorielles héritées telles que les codes d'accès à usage unique envoyés par SMS ».

    Des centaines d'entreprises technologiques et de fournisseurs de services du monde entier ont travaillé au sein de l'Alliance FIDO et du W3C pour créer les normes de connexion sans mot de passe qui sont déjà prises en charge par des milliards d'appareils et tous les navigateurs Web modernes. Apple, Google et Microsoft ont dirigé le développement de cet ensemble étendu de fonctionnalités et intègrent désormais la prise en charge dans leurs plateformes respectives.

    Les plateformes de ces entreprises prennent déjà en charge les normes FIDO Alliance pour permettre une connexion sans mot de passe sur des milliards d'appareils de pointe, mais les implémentations précédentes obligent les utilisateurs à se connecter à chaque site Web ou application avec chaque appareil avant de pouvoir utiliser la fonctionnalité sans mot de passe. L'annonce du 5 mai étend ces implémentations de plate-forme pour offrir aux utilisateurs deux nouvelles fonctionnalités pour des connexions sans mot de passe plus transparentes et sécurisées :
    • Autoriser les utilisateurs à accéder automatiquement à leurs identifiants de connexion FIDO (que certains appellent une « clé d'accès ») sur bon nombre de leurs appareils, même les nouveaux, sans avoir à réinscrire chaque compte.
    • Permettre aux utilisateurs d'utiliser l'authentification FIDO sur leur appareil mobile pour se connecter à une application ou à un site Web sur un appareil à proximité, quelle que soit la plateforme du système d'exploitation ou le navigateur qu'ils exécutent.
    • En plus de faciliter une meilleure expérience utilisateur, le large support de cette approche basée sur des normes permettra aux fournisseurs de services d'offrir des informations d'identification FIDO sans avoir besoin de mots de passe comme méthode alternative de connexion ou de récupération de compte.

    Ces nouvelles fonctionnalités devraient être disponibles sur les plateformes Apple, Google et Microsoft au cours de l'année à venir.

    Source : Apple

    Et vous ?

    Que pensez-vous des alternatives aux mots de passe comme Windows Hello, Microsoft Authenticator, la clé de sécurité ou le code de vérification envoyé à votre téléphone ou par e-mail ?
    Êtes-vous tenté d'essayer l'une d'elles (ou plusieurs) ? Dans quelle mesure ?
    Si vous en avez déjà essayé au moins une, qu'en avez-vous pensé ?
    Que pensez-vous des passkeys d'Apple ?
    Des retombées sur des outils comme les gestionnaires de mots de passe si ces alternatives venaient à être adopté massivement par internet et les internautes ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  6. #26
    Membre éprouvé
    Homme Profil pro
    retraité
    Inscrit en
    septembre 2014
    Messages
    451
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : retraité

    Informations forums :
    Inscription : septembre 2014
    Messages : 451
    Points : 1 094
    Points
    1 094
    Par défaut
    Mais n'est-ce pas un peu illusoire si on relit ceci : https://www.developpez.com/actu/3334...n-des-enfants/

  7. #27
    Membre confirmé
    Homme Profil pro
    Consultant en Business Intelligence
    Inscrit en
    décembre 2021
    Messages
    324
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Consultant en Business Intelligence

    Informations forums :
    Inscription : décembre 2021
    Messages : 324
    Points : 489
    Points
    489
    Par défaut
    Bonjour,

    Les "passkeys" d'Apple pourraient enfin mettre un terme aux mots de passe pour de bon, Apple a fait la démonstration de sa nouvelle norme de connexion biométrique à l'occasion de la WWDC

    Que pensez-vous des alternatives aux mots de passe comme Windows Hello, Microsoft Authenticator, la clé de sécurité ou le code de vérification envoyé à votre téléphone ou par e-mail ?
    Qu'on nage dans une situation utopique .

    Comment fera t on dans les cas suivants :

    Accéder à une machine quand il n'y a pas de réseau télécom ? Si on doit avoir un accès web pour ouvrir son PC ou smartphone ... et qu'il n'y a pas de réseau on ne peut donc pas utiliser son matériel ?
    On se coupe un doigt .
    On se blesse au visage .
    Le / la conjoint(e) décède .

    Êtes-vous tenté d'essayer l'une d'elles (ou plusieurs) ?
    Non

    Dans quelle mesure ?
    Il est impossible d'être à 100% dépendants de solutions passant par internet. Idem , on ne peut pas créer un système d'accès ou la perte d'un moyen d'accès condamne l'accès définitivement ...

    La perte d'un bras ou d'une main et on ne peut plus donner son emprunte digitale ... Par exemple.

    Si vous en avez déjà essayé au moins une, qu'en avez-vous pensé ?
    Les cas d'usages sont de mon point de vu en réalité bien limité (finance, banque , transaction financière, validation d'un achat ... )

    Pour ouvrir outlook ou thunderbird en local sur ma machine ( a domicile ou en vacances par exemple) . S'il n'y a pas d'accès internet, ou de réseau je n'ai pas forcement l'envie d'attendre plusieurs un sms ou qu'une appli fonctionne.

    Que pensez-vous des passkeys d'Apple ?
    système trop risqué comme expliqué plus haut.

    Des retombées sur des outils comme les gestionnaires de mots de passe si ces alternatives venaient à être adopté massivement par internet et les internautes ?
    Aucune, on crée encore un Nième besoin au lieu de passer par l'éducation. C'est de vendre une solution ou l'utilisateur devient totalement dépendant (au risque de le mettre dans situations totalement ubuesque comme exposé plus haut).

    " Le réseau GSM et la fibre sont en panne ! Revenez demain pour utiliser et vous connecter à Excel ! "

    Je caricature, c'est pour montrer l'absurdité de la chose en cas d'indispo du réseau télécom ...

    Quelle alternative pour continuer de travailler en local ?

Discussions similaires

  1. bouton pour signaler l'oubli de mot de passe au serveur?
    Par Godzella1925 dans le forum Débuter avec Java
    Réponses: 1
    Dernier message: 19/04/2011, 09h49
  2. Code VBA pour la saisie d'un mot de passe
    Par narr255 dans le forum VBA Access
    Réponses: 2
    Dernier message: 24/10/2010, 12h17
  3. script pour automatiser le changement de mot de passe sur plusieurs hosts
    Par abiyas dans le forum Applications et environnements graphiques
    Réponses: 3
    Dernier message: 16/11/2007, 14h15
  4. pour sécuriser mon logiciel (le mot de passe)
    Par pierre987321 dans le forum Delphi
    Réponses: 4
    Dernier message: 13/06/2007, 09h24
  5. [LDAP] Requête pour vérifier le login et mot de passe
    Par NiGHtyWolf dans le forum Bibliothèques et frameworks
    Réponses: 1
    Dernier message: 10/03/2007, 22h44

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo