L’industrie des nouvelles technologies souhaite se débarrasser à terme des mots de passe et les remplacer par une identification biométrique.
donc les capteurs biometrique vont devenir obligatoire sur les claviers ?
ca manque clairement d’information sur l’avenir de cette techno passkey qui s’appuierais donc juste sur la biométrie ou reco faciale ?
2 « J'aime »
C’est exactement la question que je me pose aussi…
1 « J'aime »
des personnes avaient émis des réserves sur ces systèmes biométriques car si un pirate parvenait à obtenir les infos biométriques d’une cible, même si cette cible s’en aperçoit, il n’y aurait pas moyen de changer ces infos puisqu’elles sont uniques.
un mot de passe est changeable mais pas une empreinte…
1 « J'aime »
Pourquoi ne pas mettre directement que c’est 1Password dans le titre?? 
3 « J'aime »
On en revient quand même toujours à l’idée de confier toute sa sécurité à un opérateur tiers. Je reste dubitatif quand même.
1 « J'aime »
Effectivement si un pirate fais un faux site est qu’on lui donne l’empreinte pour la connexion
c’est fini
Ou sinon il fais un cheval de trois
Non, pas nécessairement. Avec les systèmes de biométrie modernes, ni l’empreinte ni sa signature ne sortent du lecteur.
Le principe, c’est que par exemple, si je veux sécuriser l’accès à un fichier je vais :
- Générer une clé de chiffrement K totalement aléatoire,
- Chiffrer la fichier avec cette clé K,
- Chiffrer la clé K avec une clé M dérivée du mot de passe de secours demandé à l’utilisateur (oui, il faut prévoir un secours, on ne peut pas utiliser la biométrie seule…) et stocker cette clé K’ chiffrée à côté du fichier chiffré,
- Envoyer la clé K au lecteur d’empreintes pour qu’il la chiffre avec une clé E dérivée de l’empreinte et une clé L intégrée dans le lecteur,
- Recevoir du lecteur d’empreinte la clé K’’ chiffrée et l’identifiant du lecteur (juste un identifiant pour reconnaître quand j’ai affaire au même lecteur, cet identifiant n’est pas la clé L, qui ne sort jamais du lecteur),
- Conserver K’’ et l’id du lecteur à côté de mon fichier chiffré.
À aucun moment je n’ai eu accès à l’empreinte ou à sa signature. Et comme la clé K (que je connais en clair) a été chiffrée à la fois avec la clé dérivée de l’empreinte et celle du lecteur, je ne peut pas à partir de la version chiffrée déduire la clé E ou l’empreinte. C’est mathématique : si je sais que K" = f(g(K, E), L), en ne connaissant que K" et K je ne peux trouver ni E, ni L, à fortiori si je ne connais même pas f et g (la fonction de chiffrement peut être propre à chaque modèle de lecteur, voire même si on pousse loin à chaque lecteur, et peut être différente pour les deux étapes).
Pour ouvrir l’accès au fichier :
- Je regarde si un lecteur d’empreintes dont je connais l’id est accessible,
- Si oui, je lui envoie la clé K’’ qui lui correspond et il me renvoie la clé K,
- Si non, je demande à l’utilisateur son mot de passe maître et je déchiffre la clé K à partir de K’
- Déchiffrer le fichier avec la clé K.
Là encore, aucun accès à l’empreinte où à sa signature.
Bien sûr il y a d’autres cas où l’empreinte peut être volée, via les nombreux endroits où on la laisse physiquement trainer. Mais pas en faisant un faux site utilisant l’identification biométrique ni avec un cheval de Troie.
4 « J'aime »
En dehors des sites sensibles (banques notamment), j’ai un mot de passe complexe « universel » qui intègre le trigramme de chaque site. Couplé autant que possible à une authentification double facteur, de préférence avec code tournant sur google authenticator. Je pense que c’est déjà hyper sécure comme ça. Et ce serait bien si plus de sites utilisaient le code tournant OTP.
Pour la biométrie ou l’identité numérique, attendons de voir la plus-value réelle… Mais ce sera pas pour bientôt.
Sinon il y a « spectre » si tu veux garder ta logique mais en plus secure :
Sinon je confirme, si deja l’OTP était de rigueur partout, même si ce n’est pas totalement incassable, ca rend deja le problème plus complexe !
Ca peut se « simuler » en conjuguant les deux en utilisant un algo perso (ou pas).
Par ex: monbopasswordamazon! => sha512 + caractères à la con
= « 74bf9956c461874b576b1d9bd2acab719905ffa89b8e7cbe57f56f46aa23e10d98e95b9329b8510ff4f3f8e22af26c463ec59b510355091c88e31af1b684b9d6% »
monbopasswordclubic! => etc.
« 72efe0d287a9db1724fc87da6fb00a3e92f077b83136758dc9fbd1fdf826b807d684dbf316eb6301a3448870202166aaf1f0c5c96f68f36a6e3bc3d3215cf36f% »
Et ça se module en fonction des limites des sites.
Après faut savoir calculer son algo de tête … ou peut-être simplement toujours avoir un outil sous la main pour le faire.