1Password anticipe la disparition presque programmée du mot de passe en faisant la part belle aux clés de sécurité, que le service devrait proposer à ses clients dès l’an prochain.
1 « J'aime »
pas bien compris comment celà fonctionne mais je lis :
"Les clés d’accès présentent un avantage de sécurité en ce qu’elles sont stockées sur vos appareils, et que l’on ne peut y accéder qu’à l’aide de la biométrie. "
Alors, le jour où je reviens à moi sur mon lit d’hôpital avec le visage abimé, je ne pourrai plus accéder à aucune identification ? en particulier mail et compte bancaire ?
Une clef stockée sur nos appareils est-elle vraiment à l’abri ?
J’imagine qu’il faut faire confiance à 1Password qui doit sans doute assurer qu’en aucun cas il ne connais la clef ?
faudrait que je trouve l’explication du système 1Password, celà répondrait sans doute à mes interrogations ?
1 « J'aime »
On ne parle pas, dans ce cas-ci, du logiciel 1password. On parle plutôt, par exemple, de votre tablette Apple qui vous reconnait par votre visage ou optionnellement avec un court mot de passe pin. La clé est alors en sécurité tant que l’OS de la tablette en soit n’est pas corrompu, mais seulement dans ce cas.
D’autres appareils, comme les clé fido dédiées (ex. Yubikey), permettent de conserver ses clés en sécurité, qu’importe l’état de l’os ou du navigateur hôte. En revanche, un navigateur corrompu pourrait vous faire signer le mauvais site.
Ce sont là les limites du système, ce qui est bien moins pire qu’un système de gestion de mots de passes en clair.
1 « J'aime »
citation « Apple, avec son système de reconnaissance faciale FaceID, permet par exemple de déverrouiller son iPhone ou son iPad, mais aussi de se connecter à des applications et de valider des achats. »
mais on peut aussi déverrouiller avec un code pin, que se passe-t-il alors parce que si on accès à l’application 1Password leur biométrie c’est du flan et si le seul accès est la biométrie que faire en cas de pannes de l’appareil photo. Accès quand même dans un cas,plus d’accès dans l’autre ?
Dans ce cas hors de question.
Ce ne serait pas encore une bonne histoire de marketing tout ce cirque parce qu’en informatique dès qu’on parle de sécurité « inviolable » je sens mes poils se hérisser !
1 « J'aime »
l’identification par reconnaissance faciale ne peut elle pas être dupée par une simple photo?
concernant l’article dans sa globalité, je n’ai pas compris le mode d’action de ce gestionnaire.
concrètement comment ça se passe?
Dashlane, 1Password…
Je préfère Trousseau iCloud Apple California.
Il y en a qui se crée vite des noeuds au cerveau…c’est pas encore en place et il y a des tas de personnes qui bossent là dessus pour régler les problèmes, cool les gens…
Personne n’a compris. Normal, c’est juste une pub déguisée. J’ai keepass et authy pour la double authentification. Authy est la meilleure solution pour la double authentification, surtout c’est totalement gratuit. Seulement il y a un hic :très peu de sites internet proposent la double authentification, quelle soir matérielle ou software, à part quelques uns qui ont un système propriétaire, comme par exemple les banques, orange… Alors, ce logiciel dont ont fait l’éloge, comment peut il faire si les sites visités ne sont pas compatibles ?
Par une simple photo non depuis longtemps, du moins pas sur les smartphones haut de game. ça prend en compte la 3Ddu visage. Avec un masque latex genre film j’en sais rien ^^
Le trousseau est une fonction que l’on retrouve sur tous les OS encore que celui de microsoft soit un vrai b…del (pour avoir été obligé de fouiller dedans pour supprimer des clé obsolètes qui se mélangeaient avec des clé fonctionnelle portant la même nom).
Mais celui des MAC est aussi simple d’utilisation que celui que l’on trouve dans les distributions Linux mais ce n’est pas vraiment conçu pour le même usage.
Autant sur Smartphone la biométrie j’accepte, c’est sûr sauf couteau sous la gorge (au sens litéral). A condition de ne pas le perdre ou se le faire voler.
Par contre sur ordinateur, j’ai plus de mal. Je ne connais que les lecteurs d’empreinte avec la possible interception entre le lecteur et le logiciel…
1password a rejoint l’alliance FIDO (Fast ID Online) et veut s’y faire une petite place (car sa survie en dépend)
Donc on parle en fait de la technique de clé cryptographique privé/publique poussée par cette Alliance là (de gros poissons)
Tellement gros qu’ils pensent pouvoir l’imposer facilement (faut dire Apple/Microsoft/Google c’est déjà une bonne base coté système d’exploitation)
C’est basé sur une clé privé gardé sur notre machine qui sert de base pour faire une clé publique que l’on file au site pour s’identifier.
Si je comprends bien 1password souhaite pouvoir faire l’intermédiaire pour faciliter le transfert de la clé privé entre nos différents matos, car par défaut c’est pour l’instant assez difficile de passer entre android/Apple/microsoft, ici l’app 1password pourrait générer une clé privé pour les sites chaque fois que l’on change de matos.
La faq de l’alliance FIDO donne qq réponses aux questions les plus évidentes
Le problème c’est que c’est au bon vouloir de chaque site au final, est ce qu’ils vont mettre des moyens pour refaire leur partie login? Est ce que google/bing vont déclasser dans leur moteur de recherche les sites qui n’utilisent pas le FIDO pour les inciter à le faire?
Perso sans aller vers leur FIDO j’aurais au moins voulu une uniformisation des limites des password, genre 512caracteres maximum, 20 minimum, tous les caractères acceptés (tous les spéciaux) et on évite la confirmation incompatible password manager (retaper le password à la main : GRDF je pense a vous) car là c’est plutôt une règle à connaitre par site.
(C’est Keepass qui tape mes password, j’en connais aucun (hors le master), qu’ils fassent 20 ou 500 cela ne change rien pour moi)
2 « J'aime »
Oui certains sites n’acceptent pas lors de la création de compte ou renouvellement du mdp que le générateur de mdp remplisse les champs. Il faut les remplir à la main.
Exemple ENEDIS, Leroy-Merlin, etc. Et ce n’est pas une sinécure pour un mdp de 14 symboles. Ne parlons pas de la liste limitée de symboles spéciaux ! Désormais, j’y pense à chaque fois que j’ai une erreur bizarre ou un échec.
Pour M et Me Dupont ça va dans le bon sens. Il faut aller vers un procédé transparent pour l’utilisateur. Reste la gestion des clés quand on change d’appareil pour un neuf ou quand on installe une nouvelle version d’OS par réinstallation. Là aussi, il faut que ça soit transparent.
Il faudrait peut-être généraliser l’identité numérique comme la carte d’identité. On a bien tous un numéro de Sécurité sociale.
Quant à sa généralisation, une règlementation peut le faire. Ce ne serait pas une première en matière de sécurité.