Commentaires : Vous avez un compte Amazon ? Adieu le mot de passe et la vérification en deux étapes!

Plus sécurisée et plus pratique que le mot de passe, la passkey (clé d’accès) vient protéger nos comptes Amazon.

Cette solution n’est pas envisageable sur un pc gamer.

Et nos données biométriques elle vont où ?
Est ce que cela fait appel à une fonction du téléphone et seul le téléphone à accès à nos données ?
Comment font ils le lien entre notre compte Amazon et le verrouillage par le smartphone
Ils feraient mieux d’activer le mots de passe de la banque pour valider le paiement car amazon valide le paiement sans rien demander
Je sais pas si c’est du au fait que j’ai enregistré ma carte sur leur site

Pour Amazon, il demande une clé USB pour finaliser. Je vois pas comment ca peut fonctionner si on nous demande une clé USB.

Pourquoi pas ? Amazon ne le supporte pour l’instant que dans les applis mobiles, mais techniquement rien ne les empêche de le supporter un jour sur le site et donc que ça fonctionne sur n’importe quel PC compatible avec les clés d’accès.

Normalement pas plus loin que le lecteur d’empreintes. Dans le pire des cas, jusqu’à l’OS. Jamais à Amazon.

Oui, si tu le fait sur un téléphone Android ou iOS, ça utilisera les fonctions de biométrie natives de l’OS.

Tu te connectes une première fois avec ton login/mot de passe. Là tu demandes d’activer la fonctionnalité. Ça va générer une clé d’authentification cryptographique que ton appareil va stocker dans son gestionnaire de clés (en général, géré par l’OS).

Quand tu reviens sur Amazon plus tard depuis le même appareil (en théorie, y compris avec une autre application que celle de départ, tant qu’elle gère aussi l’authentification par clé d’accès… mais je ne sais pas s’il existe un système pour restreindre les clés d’accès à une application… en tout cas par expérience sous Windows toutes celles que j’ai créées avec un navigateur sont ensuite disponible dans les autres navigateurs), l’appli va demander au gestionnaire de clés s’il y a une clé correspondant à ton login pour Amazon. Si oui, le gestionnaire de clés t’authentifie (c’est là qu’intervient éventuellement la biométrie) pour autoriser l’accès à la clé. Amazon peut alors vérifier que la clé est valide pour ton compte, et si oui, ouvrir l’accès à ton compte.

Les gens n’y comprennent rien et pour ce qui me concerne je ne vois pas l’intérêt par rapport à la double authentification par SMS.
Empreintes digitales ou iris, tout cela peut être piraté en un rien de temps. Quand au code PIN, en quoi un code à 4 chiffres est-il plus sûr qu’un mot de passe sécurisé proposé par Google ? Je ne vois pas …

Ce n’est pas juste un PIN. C’est la combinaison appareil physique + PIN. Celui qui te vole juste ton mot de passe peut accéder à ton compte. Celui qui te vole juste ton PIN ne peut pas, il lui faut en plus ton appareil.

Et l’intérêt c’est du coup notamment d’être plus robuste face à des keyloggers. Non seulement les keyloggers et autres softs espions ne pourront généralement pas capturer le PIN (car il est saisi dans un contexte sécurisé, pas dans le contexte d’une application lambda), mais en plus, quand bien même il serait capturé, il ne sera pas utilisable.

Et ce code n’est en outre pas forcément un code à 4 chiffres, ça peut être plus long et ça peut contenir d’autres caractères, comme n’importe quel mot de passe.

Durant un démarrage récent, W10 m’a imposé de créer un code pin, OU une reconnaissance faciale, OU une empreinte. J’ai donc mis un code PIN à 4 chiffres, comme pour un mobile finalement, c’est ce qui a débloqué le démarrage de W10 …
(Ce code à 4 chiffres est bien quelque part sur le disque dur ! )

Absolument pas. Il y a un système de validation cryptographique. Sur le disque, ce qui est stocké c’est par exemple (j’ai pas les détails d’implémentation de Windows Hello, donc je donne un exemple de principe, Hello peut fonctionner directement, mais en tout cas ne stocke pas le code PIN) une clé K chiffrée avec une clé K’ dérivée de ton mot de passe et des données chiffrées avec la clé K ou des signatures calculées avec la clé K.

Chaque fois que tu as besoin d’accéder à des données chiffrées avec K ou de vérifier une signature calculée avec K, ton ordinateur va te demander ton code PIN, calculer K’ et l’utiliser pour déchiffrer K.

À aucun moment le code PIN (ou K’) n’est stocké sur l’ordinateur, c’est demandé quand il y en a besoin.

Quelqu’un peut il m’expliquer comment je fais pour changer mes données bio métriques ?

Ce ne sont pas tes données biométriques qui servent à t’identifier auprès d’un service externe. Aucune raison d’avoir à les changer.

Elles servent uniquement à t’authentifier auprès de ton appareil et ne quittent pas cet appareil. Et tu peux utiliser autre chose que des données biométriques pour ça.

Pas convaincu, le simple fait de saisir le code PIN au clavier est déjà un problème: il faudrait à minima un clavier virtuel, comme pour certaines applications bancaires, avec une disposition aléatoire des chiffres qui sont saisis à la souris. Taper sur un clavier peut facilement être enregistré par un logiciel espion.
J’ai beaucoup plus confiance dans le système FIDO, une clé physique USB sans laquelle une machine est inutilisable.

Non. La saisi se fait dans un contexte sécurisé. C’est pas une saisie classique. Comme la saisie du mot de passe du compte utilisateur au démarrage de l’ordinateur.

De plus ce PIN ne sert à rien sans la machine. Donc celui qui te vole le PIN, il ne peut strictement rien en faire, il lui faut aussi la machine.

Pour l’accès à un service en ligne, c’est à peu près le même niveau de sécurité qu’une clé d’accès. Dans un cas il faut te voler la clé physique USB et son éventuel code de déverrouillage (et la plupart n’en ont pas !), dans l’autre il faut te voler l’appareil sur lequel tu as la clé d’accès et son code de déverrouillage (et là il y en a à priori obligatoirement un, les gestionnaires de clés d’accès ne fonctionnent pas s’il n’y a pas de mécanisme de verrouillage de l’appareil).

Et dans les deux cas en cas de vol tu peux révoquer l’accès.

La double authentification par SMS, c’est juste absolument pas robuste.

CF (par exemple) ceci :

(même si, un piratage de ce genre n’arrive pas tous les jours, ce n’est pas impossible.

Auquel cas, il faut absolument que la clé physique soit protégée par un code d’accès (ou que ce soit un moyen de double authentification).

Edit : Pour le système mis en place par Amazon, une question me vient :

Ont-ils pensés au cas où le smartphone n’est pas protégé par un code ou une empreinte ?
Je verrais bien le coup où les mobiles sans protection exposent le compte Amazon.

C’est plus une question rhétorique qu’autre chose : J’imagine qu’ils y ont pensé. ^^

Le 2FA par SMS c’est vraiment si t’as rien d’autre. C’est vulnérable au SIM swap, bonjour les dégâts.

Ils n’ont même pas à y penser : cette partie de l’authentification est délégué à l’OS, qui ne fournit tout simplement pas de service d’authentification aux applications s’il n’y a pas de PIN, mot de passe ou empreinte définie.

Par contre ça pourrait éventuellement être géré indépendamment du verrouillage de l’OS : on pourrait tout a fait définir que l’accès à l’appareil n’est pas protégé mais que l’accès aux clés l’est. Ce n’est toutefois pas l’approche adoptée par Google sous Android (pas de clés d’accès si pas de verrouillage). Je ne sais pas ce qu’il en est chez Apple. Mais par contre avec des gestionnaires de clés indépendants de l’OS (Dashlane, bientôt Bitwarden) ça deviendra possible de décorréler les deux.

Et ça nécessite de capter un réseau mobile…

Les modes de fonctionnement des systèmes d’authentification biométriques sont largement décrits et documentés.

Et ça leur rapporterait quoi concrètement d’avoir ton empreinte digitale ?

Mais bon, je dois être bête et ignorant, alors que toi tu es sans doute un sachant

Et je répète la question : concrètement, avoir une empreinte digitale de quelqu’un, ça apporte quoi à Apple ou Google ? Que dalle.

Et si Apple récupérait les empreintes et les partageait avec le FBI comme ton petit doigt te le fait imaginer, le FBI n’aurait pas besoin de payer très cher des entreprises de sécurité étrangère pour trouver des failles dans les systèmes de sécurité des appareils Apple quand il veut accéder au contenu de l’iPhone d’un terroriste par exemple…

Mais bon, tout ça doit être inventé en fait, pour nous faire croire que. Seuls les sachants sachent la vraie vérité réelle

Et du coup, je suppose que le FBI qui a les empreintes d’à peu près 100% de la population adulte américaine doit faire exprès de laisser certains crimes non élucidés malgré les relevés d’empreinte sur la scène de crime juste pour faire croire qu’ils ont pas les empreintes de tout le monde, c’est ça ?

L article ne précise pas si les clés physiques acceptées par Amazon sont à la orme Fido2 U2f. Ces clés sont géniales, je déteste la validation par appli mobile de la banque, les sms ou mails de paypal.

ben l’application Amazon peut t’authentifier par empreintre, meme si le téléphone n’ait pas locké avec …