Simplicité d’utilisation et sécurité renforcée : les passkeys seraient la solution à tous nos problèmes de mots de passe oubliés, réutilisés, piratés. Mais derrière la promesse, les interrogations subsistent.
Merci pour cet article très intéressant et clair.
3 « J'aime »
Merci pour l’article, c’est un sujet important. Faut-il passer aux passkeys? Oui, sans hésiter. Les avantages sont infiniment plus important que les inconvénients.
Des précisions sur les sujets abordés dans l’article:
- enfermer dans un écosystème. C’est un problème de gestionnaire de mots de passe, pas de la technologie en elle même. A mon avis c’est un problème lié a la jeunesse de la techno. Les Google, Microsoft et autre on tout intérêt à proposer des gestionnaires multi plateforme. Ne serait-ce que pour la visibilité que cela donne sur les ressources.
- déplacement de la confiance des mots de passe vers des entreprises privées: faux problème. Dès qu’on utilise un service, on fait confiance au service. Le mot de passe ne protège en rien contre le fournisseur.
- appareil de confiance qui disparaît: scénario identique à l’oubli du mot de passe principal. Rien de nouveau ou plus compliqué
- données biométriques qui tombent dans de mauvaises mains: non. Les données biométriques restent locales à l’appareil. En aucun cas le fournisseur de service ne les voit. C’est aussi un scénario connu depuis des années avec Windows hello, les puces tpm, Apple face recognition etc.
- Microsoft, Google et autre participant au standard avec Fido alliance: heureusement, sinon ils ne seraient pas compatibles
il ne faut pas y voir des intentions maléfiques, ils veulent l’apparition d’un standard. - Mfa: ce n’est pas exclusif. La plupart des passkeys sont protégés par mfa implémenté dans le gestionnaire ou dans l’accès à l’appareil de confiance
- contrôle des données: c’est un autre sujet. Passkey traitent de l’authentification. Les données auxquelles on accède sont déjà chez le fournisseur de service. Soit on lui fait confiance, soit non, mais passkey ou mots de passe ne changent rien.
Passez sans hésitation aux passkeys. Les avantages sont incontestables.
Ils ne sont pas inviolables mais sont beaucoup beaucoup plus sur.
Pour être exhaustif, les passkeys ne protègent pas des attaques pass the hash ou pass the token qui interviennent après l’authentification. Ils créent aussi de nouveau scénarios de phishing pour essayer de forcer l’utilisateur à accepter une requête dans son gestionnaire de mot de passe, sans savoir à quoi elle correspond. Mais encore une fois, le risque est bien plus faible.
1 « J'aime »
je vous dirais quand même:
enfermé dans un système que ce soit un problème de gestionnaire de mot de pas ne change rien au fait qu’on est enfermé dans un système alors tant que ce sera le cas pour moi le passkey n’est pas envisageable.
Le mot de passe ne protège en rien contre le fournisseur au singulier mais là on parle bien de mettre tous les passkey chez le même fournisseur donc en cas de problème c’est tout nos « fournisseurs » qui sont concerné d’un seul coup ce ne me semble être la même échelle ne vous en déplaise.
appareil de confiance qui disparait ne me semble pas être du tout la même chose que l’oubli du mot de passe principal, il existe bien des manière de « sauvegarder » mot de passe principal y compris un papier et un crayon aussi long soit-il et un papier c’est facile à planquer. Je ne crois pas que je puisse recopier l’appareil de confiance sur une feuille de papier.
J’aimerais bien être aussi certain que vous que mes données biométrique ne « tomberons » jamais entre de mauvaises main cependant on a déjà par le passé eu des surprises étonnantes à ce sujet…
Je ne vois en quoi les passkey qui aujourd’hui sont non interopérable seraient plus fiables qu’un gestionnaire de mot de passe local avec une base de donnée cryptée (le mot de passe maitre n’étant sur aucun réseau et changé régulièrement) éventuellement sauvegardée sur un cloud de confiance (soit dit en passant payant hébergé par contrat dans un pays qui protège ces données) lui aussi chiffré et protégé par un mot de passe le tout évidement en utilisant systématiquement la MFA sur un appareil différent.
De mon côté, toujours sur le bon vieux Keypass, pas de risque de fuite de donnée d’une société, etc. Un poil moins rapide qu’un soft synchro, mais c’est le coup de quelques secondes, c’est pas la mort.
1 « J'aime »
Les passkeys c’est des emmerdes en plus pour une sécurité identique (et encore) à la 2FA. Je comprends pas cette hype.
Je pourrais te dire que je suis un expert international sur la cybersecurity, et que ce que j’ai dit plus haut correspond aux études reconnues par le secteur, mais je n’ai pas le moyen de le prouver simplement dans un forum clubic
Je vais donc en rester là.