Le géant Google intensifie sa campagne pour éliminer les mots de passe, en faisant la promotion de la technologie des « passkeys », les clés de sécurité. L’entreprise voit cette démarche comme une alternative plus sûre et conviviale.
Donc un Pin code à 4 chiffres pour débloquer son passkey est plus sécurisé qu’un mot de passe ? 
2 « J'aime »
Le passkey est stocké physiquement. Il faut donc un accès à l’appareil.
Cela dit quelqu’un qui se fait voler son smartphone avec code pin 1234 est autant à risque que le petit calepin avec les mots de passe écrits dessus.
2 « J'aime »
Voilààààà. Exactement à quoi je pensais
Ca ne vaut pas une bonne clé usb u2f/fido2 à 20€ ! L ennui c est qu il y a peu de sites qui les supportent: ovh manager, gmail, microsoft à condition d utiliser leur cloud mais pas amazon ni les banques. Je m en sers pour protéger le compte admin des sites wordpress.
Sur plus d’un point, oui, parce que le mot de passe donne accès à ton compte de n’importe où alors que le PIN ne fait que débloquer l’accès à ton compte sur une machine sur laquelle tu t’es déjà identifié au préalable. C’est une forme d’authentification à deux facteurs.
Ce qui fait que :
- tu utilises moins souvent le mot de passe => moins de risque de se le faire voler (keyloggers et cie…),
- même sur les machines te connaissant, tu as besoin du PIN, alors que le comportement habituel des gens pour les comptes qu’ils utilisent souvent c’est de rester authentifié, pour ne pas avoir à saisir leur mot de passe à chaque fois.
Bien sûr, il y a le risque que la passkey soit volée. Mais c’est pas si simple, et de toute façon celui qui arrive à voler la passkey arriverait aussi à voler les cookies utilisées dans le cas classique pour maintenir l’authentification. Et plus facilement en fait, parce que ces cookies ne sont en général quasiment pas protégés, contrairement aux passkeys qui vont exiger le PIN à chaque tentative d’accès (et j’ai jamais testé, mais j’ose espérer que la plupart des implémentations de stockage de passkeys empêchent de faire un bruteforce sur le code PIN).
Ça ne régresse donc en sécurité que par rapport au cas où tu te déconnectes manuellement du compte après chaque utilisation (ou ne coche pas la case « Me reconnaître » sur les sites qui la proposent). Mais dans ce cas, tu peux continuer à faire comme avant, quand tu te déconnectes manuellement ou ne demande pas à être reconnu, il n’y a pas de passkey conservée sur la machine.
2 « J'aime »
Pour l’instant je ne vois rien venir. Pas plus tôt qu’hier voulant m’identifier avec un second compte v’la t’y pas qu’on me demande mon numéro de téléphone ! Et impossible de passer par une autre forme d’identification.
le calepin est bien à l’abri chez moi et pas dans ma poche de tous les jours. google dit est on doit le croire, mais si le passkey est stocké sur le device, qu’est ce qui m’assure que mon pc se fera pas volé celle-ci et sera détourné dans mon dos ?
Même si on te vole ton PC, il faudra quand même le PIN pour accéder à la passkey, qui n’est pas stockée en clair. Et je viens de tester, si par exemple on utilise Windows Hello pour le stockage de la passkey (ce qui est le stockage par défaut de Firefox sous Windows, le bruteforce du code PIN est compliqué : au bout de 4 essais infructueux, faut redémarrer le PC… et je serai pas surpris qu’avec encore un peu plus d’essais infructueux ça finisse par demander le mot de passe du compte Windows/Microsoft plutôt que simplement le code PIN). Avec mon PIN à 6 chiffres, en testant dans l’ordre et en considérant un reboot en 30s, ce qui est assez optimiste, même s’il n’y a pas plus de sécurité qu’un reboot tous les 4 essais, tu en as pour plus de 10 jours en continu pour forcer mon PIN… Et je pourrai facilement pour plus de sécurité passer à un PIN à plus de 6 chiffres, Windows Hello le permet (et on peut même y mettre autre chose que des chiffres il me semble).
Alors que si tu ne t’es pas déconnecté de ton compte avec une authentification classique et si ton stockage n’est pas chiffré, généralement il faut rien du tout pour accéder à ton compte (rares sont ceux qui ont mis un mot de passe général sur leur navigateur…)
1 « J'aime »
La passkey est un objet les gars (clé usb, nfc, bluetooth) Fido2
Elle peut être volée avec l’appareil si elle y était toujours insérée, mais elle est protégée comme une carte bleue : elle ne peux pas être copiée, après 3 echecs elle est verrouillée, on peut saisir le code pin de réinitialisation pour la restaurer. Si elle est totalement réinitialisée, ce sera un nouveau token qui ne permettra pas de se connecter aux comptes existants.
Non, les clés physiques c’est encore autre chose.
La passkey, c’est une clé logicielle, stockée dans un coffre fort sécurisé (par exemple Windows Hello).
Sur ma banque par exemple, j’ai bien le choix entre les deux :
Si j’opte pour le second choix, c’est Windows Hello qui va être utilisé pour stocker la passkey et la sécuriser avec le code PIN de Windows Hello :
Ensuite je peux me connecter au site depuis n’importe quel autre navigateur sur le même PC en ne saisissant que mon PIN Windows Hello (la passkey étant stockée dans Windows Hello, elle n’est pas propre au navigateur). Par exemple, si je passe sur Chrome :
Il n’y a pas que Google
Un article sur ce changement mis en avant pendant une semaine avant de le faire cela aurait été pas mal je pense
Plus de nom d’utilisateur mais le mail uniquement (avec l’option d’utiliser le password (pour l’instant?))
Pas trop fan de ce changement (des clics en plus pour avoir le password et si je le fais par le mail cela va surement l’ouvrir sur edge (que je laisse par défaut) alors que je suis sur firefox (mais je n’ai pas essayé )
1 « J'aime »
Il y a eu un post hier sur le forum
Par contre dans le cas de Clubic, il n’y a à priori pas d’utilisation des passkeys, ça reste un cookie d’authentification classique.
Et pareil j’aime pas du tout ce genre de systèmes, qu’on voit de plus en plus souvent, parfois sans même l’option pour passer par le mot de passe. Je pense que c’est un moyen de lutter contre les inscriptions avec des fausses adresses mail, ça rend leur utilisation plus contraignante, surtout quand l’option mot de passe n’est pas proposée.
Ah en effet oui j’ai oublié que Hello et la sécurité biométrique android sont éligibles aussi, mes excuses.
Pas seulement, les gestionnaires de mots de passe vont s’y mettre aussi.
Bitwarden annonce par exemple que ça sera supporté dans les jours à venir (s’ils n’ont pas pris de retard depuis l’annonce) : Passwordless and Passkeys | Bitwarden
Ce qui apportera du coup la possibilité de synchroniser les passkeys entre plusieurs appareils plutôt que simplement entre plusieurs applis d’un même appareil.
C’est effectivement ce qui me dérange avec les passkeys en l’état actuel. Impossible de les synchroniser ou transférer entre Windows, IOS et android. Je soupçonne même nos chers GAFAMs de promouvoir ce système pour encore un peu plus bloquer les utilisateurs dans leur écosystème propre.
J’attends la solution Bitwarden pour basculer.
Perso j’ai besoin d’aucun tiers, j’ai une yubikey 5 NFC