Commentaires : Vous avez un compte Amazon ? Adieu le mot de passe et la vérification en deux étapes!

Débat sur l'actu
43

Le code PIN 0000 serait donc contre toute attente, le plus sécurisé? :slight_smile:
(Juste avant le 1234)

44

Alors je vais faire plus simple :
Ca me gonfle, que je soit FORCÉ de mettre un verouillage sur mon tel.
Ca portera moins a controverse dis comme ca.
Et non je ne veux pas mettre d’empreinte, et non je ne veux pas mettre la reco faciale. Je veux mon tel deverouillé, et accessible facilement, et l’utiliser facilemement. Et pour eviter les problemes, je fais attention a mon tel.

Que l’appli de paiement soit derriere un code, ok, ma CB physique aussi, mais pas le tel complet pour utiliser juste ca en plus.

Etre géné 50 fois par jour, a cause d’UNE fonction moderne, bien pratique, et ce afin de contrer une eventuelle hypothétique tentative de vol, qui plus est, couverte par les assurances… Non!

Et je ne compare pas la technilogie, elle est largement plus evoluée dans ce cas précis ( meme si evolué ne veux pas forcement dire plus efficace ou pratique :man_shrugging:t2: mais laaaaa… )

Je compare pour l’utilisateur : ca ajoute enormément de compléxite/ complications /contraintes / etapes pour lui tout en eliminant pas complétement le risque, et en créant d’autres ( genre le post plus haut qui disait qu’il avait plus acces a son propre mail…)

( sinon, la , ca va? Je reste suffisement dans mon domaine de compétence d’utilisateur? )

45

Une belle merde si il en est. Qui si le mobile n’est pas disponible ? Qui si tu n’as pas activé les fonctions biométriques sur l’appareil ?

#OnMetTousLesOeufsDansLeMêmePanierEtCestTrèsCon

46

Les données ne sont pas couvertes pas les assurances. Et je ne parle pas forcément que de perte simple, mais d’une éventuelle utilisation frauduleuse / contre la personne.

Autre chose, pas nécessairement un vol de smartphone, mais son accès physique pour par exemple installer une application dans le but d’espionner son propriétaire …

Mais bon, j’imagine déjà la réponse qui va suivre … :smirk:

Et bien ne le verrouille pas. Problème réglé. :sweat_smile:

47

Tu n’as juste pas compris.

Qui si le mobile n’est pas disponible => Les clés d’accès sont stockées sur l’appareil avec lequel tu accèdes au compte. Pas sur un autre. Donc si ton mobile n’est pas accessible, c’est que tu utilises un autre appareil, et tu n’as pas besoin des clés d’accès qui sont sur ton mobile.

Qui si tu n’as pas activé les fonctions biométriques sur l’appareil => Les clés d’accès ne sont pas obligatoirement protégées par biométrie, elles peuvent l’être par n’importe quel moyen d’authentification (PIN, mot de passe, clé physique…).

Bref, pour la nième fois : clés d’accès != 2FA != authentification déléguée à un appareil tiers

48

Calme toi; tu ne vois pas toutes les situations possibles manifestement.

L’idée repose essentiellement un principe utilisé depuis longtemps, et qui est similaire aux connexions openssh (vive le marketing, ils n’ont rien inventé).
C’est pour les utilisateurs avertis.

Généraliser cette technique à l’utilisateur lambda qui ne comprendra rien aux histoires de clés, l’exposera fera forcément d’avantage en oubliant notamment qu’un accès de base client suffira alors pour accéder aux services tiers d’emblée utilisant ce principe.

49

C’est mignon de dire ça quand on qualifie un truc de « belle merde » sur la base d’arguments qui n’ont rien à voir avec le sujet…

Non, vraiment, il y a confusion. Les clés d’accès ne sont pas du 2FA. L’utilisation du téléphone pour se connecter sur un autre appareil, c’est du 2FA.

Ce sont deux choses bien distinctes.

Les clés d’accès sont stockées sur l’appareil qui est utilisé pour se connecter, la différence c’est qu’au lieu de mémoriser un identifiant de session dans un cookie du navigateur, non sécurisé, l’identifiant (la clé d’accès) est stocké dans un espace dédié et sécurisé, généralement géré par l’OS.

L’utilisateur lambda, aujourd’hui, il mémorise sa connexion dans un cookie quand c’est possible, pour pas avoir à taper son mot de passe à chaque fois. Et quand c’est pas possible (banque par exemple, qui généralement ne proposent pas l’enregistrement), il le tape à chaque fois (donc exposition à un keylogger).

Dans ces deux cas, utiliser une clé d’accès est plus sûr. Et sans avoir besoin de comprendre particulièrement comment ça marche.

Aujourd’hui, grâce à la clé d’accès, chaque fois que je me connecte à Boursorama, je ne saisis que le code PIN de mon ordinateur, n’exposant donc pas mon mot de passe qui pourrait servir à se connecter depuis un autre appareil s’il était volé. Et sans que j’ai besoin d’avoir mon téléphone. Ni besoin que la biométrie soit activée sur mon ordinateur.

???

51

Le 2FA n’est pas du tout généralisé, loin de là.
Ils partent de se débarrasser du F2A pour utiliser le passkey qui reprend le principe des connexions ssh clé privée + clé publique. Il n’y a pas de confusion possible, sauf peut être pour toi.

Tous les utilisateurs qui font preuve de prudence n’enregistrent pas leur mdp, et au moins ils sont clairement avertis au moment de le faire (en principe).

Le keylogger si tu le choppes, il récupérera aussi ton pin pour l’accès à l’ordi, ton argument ne tient pas. Et il n’y a pas que les keyloggers, la copie de clés privées ça se fait aussi ce que tu sembles ne pas comprendre.

En réalité, le problème reste le même, c’est d’abord une affaire de pratique et ça se destine surtout.

Et ce genre d’outil d’authentification rend la connexion transparente et donc n’est pas adapté pour l’utilisateur lambda du grand publique qui oubliera sa présence pour les services installés sur sa machine.
Donc en cas de prise de contrôle temporaire de sa machine (session mal verrouillée, perte du code pin, malware etc.), l’accès aux services installés sera immédiat car plus aucun mdp n’est demandé. C’est d’ailleurs que subissent certaines boîtes où les employés sont mal formés, avec des systèmes trop interconnectés, qui se retrouvent alors avec toutes leurs données cryptées.

C’est une fausse bonne idée à mon sens, au moins le F2A (très chiant parfois) fait prendre conscience du mécanisme d’authentification.

52

C’est bien toi qui semblait faire la confusion en croyant que le téléphone est nécessaire pour utiliser les clés d’accès (« Qui si le mobile n’est pas disponible ? »)…

Pareil pour l’enregistrement d’une clé d’accès : l’authentification par le gestionnaire de clés est aussi demandée au moment d’en enregistrer une, donc ça ne peut pas se faire sans s’en rendre compte. Un service ne peut pas enregistrer une clé d’accès à ton insu, ni même simplement parce que tu cliques sur « OK » partout sans faire attention.

Sauf que le PIN ne sert à rien sans avoir aussi la possibilité de prendre le contrôle de l’ordinateur… Ce qu’un simple keylogger ne permet pas…

Bien sûr, ça se fait. Mais quand elles sont stockées dans une enclave sécurisée, c’est autrement plus compliqué que de voler un cookie sur un navigateur…

Car je rappelle que c’est bien ça le but premier de la clé d’accès : une solution meilleure que le cookie pour enregistrer le fait qu’un compte s’est déjà connecté depuis la machine et ne plus lui redemander le mot de passe du compte lors des reconnexions ultérieures…

Non, ce n’est pas transparent, puisqu’à chaque connexion il faut s’authentifier auprès du gestionnaire de clés d’accès…

Aucun mot de passe, mais le PIN sera toujours demandé… Donc si tu oublies de verrouiller ta machine, le collègue qui essayerait d’en profiter ne pourra pas accéder aux services dont l’accès est contrôlé par une clé d’accès…

C’est marrant, mais le 2FA, c’est exactement ce à quoi on pourrait faire le reproche lapidaire de ton premier message dans la discussion : « Qui si le mobile n’est pas disponible ? »… Parce que pour l’utilisateur lambda, dans l’écrasante majorité des cas, le 2FA c’est justement le mobile (SMS, TOTP sur une application mobile, application de la banque sur le téléphone).

Et le but des clés d’accès n’est pas de remplacer le 2FA de toute façon… C’est uniquement de remplacer le 1er facteur d’authentification (mot de passe remplacé par clé d’accès, et donc par authentification du gestionnaire de clés d’accès) sur les appareils connus. On peut tout a fait combiner la clé d’accès avec un second facteur TOTP, SMS ou clé physique par exemple.

Par exemple, sur le site de ma banque, j’utilise désormais une clé d’accès pour me connecter, mais le site me demande quand même toujours un code envoyé par SMS pour faire les opérations sensibles. La clé d’accès n’a remplacé que le mot de passe du compte.

53

Demander un mot de passe, ou un code pin c’est toujours le même principe seule la sémantique change. Et le code n’est pas systématiquement demandé, tout dépend de la façon dont a été conçu le service.

Un système comme le passkey ne vaut que si tu propriétaires de l’appareil ce système, que tu le veuilles ou non sorti de ce contexte c’est aussi vulnérable que les autres techniques. Et tu l’as compris toi même puisque tu vois bien qu’on combine plusieurs techniques.
C’est la base.

54

Non, et c’est justement là tout l’intérêt des clés d’accès.
Demander le mot de passe, c’est demander un élément qui, s’il est compromis au moment de sa saisie, est utilisable n’importe où ailleurs pour se connecter au compte.
Demander une authentification liée à la machine, comme c’est le cas avec les clés d’accès tant qu’on ne les met pas dans un gestionnaire indépendant de la machine, c’est demander un élément qui, s’il est compromis, n’est utilisable qu’en ayant en plus l’accès à la machine.
On introduit donc un élément de sécurité supplémentaire.

Avec les clés d’accès, si. Il n’est pas possible d’accéder à la clé d’accès sans demander d’authentification.

Bien entendu. Personne n’a jamais prétendu que c’était destiné à être utilisé sur des machines partagées… Le fait même que ça repose actuellement quasi systématiquement sur l’authentification par l’OS implique que ça ne puisse être utilisé que sur une machine dont on est l’utilisateur régulier…

55

Si je comprends bien il faut associer le PIN à un lecteur biométrique: avez-vous un lecteur d’empreinte à me conseiller, un produit bien noté qui irait sur mon PC ? Merci d’avance

56

Non, le PIN est une alternative à la biométrie. Il n’est pas nécessaire d’avoir un lecteur d’empreintes.

À partir du moment où tu as un PC sous Windows, tu peux y utiliser les clés d’accès, avec les mêmes méthodes d’authentification que celles que tu utilises pour te connecter à ton compte Windows (sauf le mot de passe semble-t-il) : code PIN, empreinte, reconnaissance de visage, clé physique.

Si pour l’instant tu ne te connectes à Windows qu’avec un mot de passe, tu peux activer le PIN dans Paramètres > Comptes > Options de connexion.

57

Le code PIN est tout aussi vulnérable que le mot de passe, tu saisies l’information dans les deux cas. Dans un cas on est en général sur du numérique, l’autre c’est de l’alpha, donc c’est tout ça fait similaire.

Oui le couple clé primaire - clé publique évite une saisie supplémentaire mais que tu le veuilles ou non, si l’accès à la machine propriétaire est hacké de x façon il est alors tout à fait possible de copier la clé privée pour la renvoyer sur une autre machine sans que tu le saches.
Donc ça reste plus sécurisé pour les échanges distants pour peu que ta machine reste inaccessible à un tiers.

Enfin l’utilisation du passekey n’impose en rien la présence d’une étape supplémentaire dans le processus d’authentification avec d’un code pin, d’une biométrie, d’un mdp ou encore un schéma. C’est une suggestion, ce qui est logique puisque le but est de se passer du mot de passe.

Webauthn qui exploite le mécanisme pour les services Web, est déjà lui plus contraignant.

58

Non, car la saisie ne se fait pas dans le même contexte : simple navigateur, où le mot de passe saisi est extrêmement facile d’accès, pour un keylogger ou pour une extension du navigateur vs modale sécurisée de l’OS, théoriquement même protégée des keyloggers (sauf faille de l’OS… mais ça fait une difficulté supplémentaire).

Et surtout, je le répète : le mot de passe volé peut servir ensuite pour se connecter au service depuis n’importe quelle autre machine. Pas le PIN, qui sert à s’authentifier sur la machine, pas sur le service.

Oui, dans le pire des cas (et il faut l’accès à la machine + le PIN ou autre moyen d’authentification, l’accès simple ne suffit pas), aucune solution n’est sûre. Mais on n’est pas forcément toujours dans le pire des cas…

59

Bonjour @MattS32

Je viens de faire quelque tests concrets avec Windows Hello, Gmail et Passkey.

  1. Question subsidiaire: Est-ce que d’aprés toi la fenêtre « Windows Security » pour taper le PIN pour se connecter à Gmail ( via le Passkey ) est Keylogger-Proof ou non ?

  1. Suite à mes tests quelque chose me chagrine. Si je me connecte à 27 sites, sécurisé via ce même PIN. N’importe qui avec ce PIN et ma Machine, peut en plus de se logger à ma machine, se connecter a mes 27 comptes en ligne et changer le système de sécurité de ces 27 comptes, dont leur mots de passe. Je viens de faire un test sur Gmail et cela a bien entendu fonctionné. Le PIN se retrouve être un SuperPassword qui donne totalement accès à tous les comptes configuré ( via cette méthode du Passkey ). Cela me parait tout de même assez problématique, qu’en penses-tu ?

  2. On peut certes utiliser la biométrie, mais le fait de pouvoir mettre mon doigt sur le capteur même après ma mort ( ou sous la contrainte ) me pose problème.

  3. Il y’a la reconnaissance Facial via Windows Hello si j’ai bien compris, qui semble mieux. Mais la encore cela signifie d’avoir une cam 100% du temps active / piratable qui te regarde. Cela me gène aussi.

Je n’ai pas encore installer Bitwarden, mais sur le papier l’option d’un gestionnaire de mots de passe bien configuré / sécurisé, me parait largement mieux que cette histoire de passkey. ( enfin même s’il faudra que je retest Bitwarden pour le certifier )

Que penses-tu de cette analyse ?

Cordialement,

60

Elle devrait normalement l’être. J’ai testé avec un keylogger basic, il n’a rien vu. Elle est aussi à l’épreuve des extensions de navigateur, qui peuvent très facilement capturer les mots de passe.

Après, c’est sans doute pas infaillible non plus. Un keylogger suffisamment bas niveau (au pire, « branché » directement au pilote du clavier… ou un keylogger physique sur un clavier filaire) arrivera à le récupérer.

Alors oui, en cas d’accès à la fois à la machine et au PIN, ça ouvre l’accès à tous les sites pour lesquels tu as un passkey. Tout comme ça ouvre accès à tous les sites pour lesquels tu as un cookie d’identification.

Par contre ça ne donne pas nécessairement la possibilité de changer les accès à ces comptes : ça ce n’est pas une caractéristique intrinsèque de la clé d’accès. Le site auquel tu te connectes sait si tu t’es connecté avec un ou deux facteurs, avec un mot de passe ou avec une clé d’accès, etc… Après, c’est à lui de décider ce qu’il t’autorise à faire sans authentification complémentaire.

Effectivement, et ça m’étonne beaucoup, Google autorise l’accès aux options du compte avec la clé d’accès, alors qu’avec une connexion par cookie il redemande le mot de passe. Bon cela dit, ça montre à quel point Google a confiance en la sécurité de ce nouveau système…

Mais par exemple sur Boursorama Bank, ce n’est pas le cas, si je me suis connecté avec une clé d’accès, il me demande le mot de passe quand je cherche à le modifier. Vraiment, sur ce point, c’est un choix du site.

Merci pour l’info du coup, je vais désactiver le passkey sur mon Gmail…

Alors sur ce point, le capteurs récents sont souvent capables de distinguer un doigt mort d’un doigt vivant. Après, le côté sous la contrainte, là oui, si tu penses que c’est une situation qui risque de t’arriver et si tu as des choses que tu veux protéger même dans ce cas, n’utilise pas la biométrie…

Pas nécessairement. Les webcams récentes ont souvent un cache physique, il suffit donc de l’enlever quand on veut utiliser la reconnaissance faciale. On peut même sur certaines avoir la reconnaissance faciale tout en cachant l’objectif : la reconnaissance facile passe par un capteur dédié, dans l’infrarouge. Bien sûr, ce capteur pourrait en théorie aussi servir à espionner. Mais en pratique, c’est une autre affaire, car il n’est pas accessible directement comme le capteur principal, et en plus pour fonctionner correctement il doit aussi allumer le « flash » IR de la webcam, qui émet en général aussi dans le visible.

Sinon tu as aussi une autre alternative au PIN, c’est la clé de sécurité physique, que tu gardes avec toi et branche quand tu en as besoin. Par rapport au PIN, ça limite encore un peu plus le risque de vol simultané de la clé et de de la machine, tout en évitant le recours à la biométrie. Mais je ne sais pas quels sont les clés physiques compatibles, j’en ai deux, une très vieille Yubikey de première génération et une Feitian Fido (la version « générique » de la Google Titan 1ère génération USB+BLE+NFC), aucune des deux n’est reconnue par Hello.

1 « J'aime »
61

@MattS32 merci pour ta réponse.

  1. Oui dans mon test j’ai pu changer le password Gmail en me connectant via le PIN et sans qu’il me demande l’ancien password. Il aurait été bien que tu faces aussi le test, afin de double-valider le mien, au cas…
  1. Ok, je ne peux pas test, je n’ai pas cette bank, mais je te crois. Et il est à la discrétion du site de redemander le mot de passe du compte pour tout changement dans les paramètres de sécurité dudit compte, comme tu l’as très bien dit en effet.
  1. Souvent, ok je ne pensais pas, je pensais que c’était même rare. Mais oui cela résout une partie du problème.
  1. Ok, je ne connais pas. Quelles sont les cam qui font ça ?
  1. Je te rassure j’ai 2 Yubikey aussi une Neo et une Nano ( je crois ) et les 2 n’ont pas fonctionné dans Hello non plus, par contre je suis arrivé avec Hello a réinitialisé une, qui ne fonctionne du coup plus dans gmail ou elle était enregistré. mdr. J’ai due la réenregistré à nouveau.

Pour résumer je pense que la meilleure option c’est la cam que tu me décris juste avant ma question sur c’elle-çi en 4). Et du coup elle m’interesse beaucoup. Car a part sous la contrainte ( ou l’on peut de toute façon tout récupérer, pass, empreinte, pin, facial ) en plus de la simplicité à l’usage, son système me semble plus difficile a usurper. Qu’en penses tu ?

62

Je n’ai peut-être pas été suffisamment clair dans mon messages précédent : j’ai bien fait le test, et je confirme qu’on peut changer le mot de passe en ne s’étant authentifié que via la clé d’accès.

C’est devenu quasi systématique sur le PC portables « pro », on le retrouve aussi sur quasiment toutes les webcams Logitech récentes, et même certains modèles encore commercialisés ont été « mis à jour » avec un cache (par exemple la C920, qui doit bien avoir 5-6 ans, et qui a maintenant une déclinaison C920s avec un cache).

Toutes les webcams compatibles Hello ont un capteur infrarouge. C’est un prérequis pour être compatible Hello. En général, les webcams « externes » le font avec deux capteurs (et deux objectifs du coup) séparés, tandis que les webcams de portables ont plutôt un capteur unique qui peut être utilisé soit en IR soit en couleurs visibles.

Après, la possibilité d’utiliser Hello tout en ayant caché l’objectif principal quand il y en a deux, ça dépend comment est fait le cache. Par exemple sur la mienne, une Logitech Brio, le cache est une pièce en plastique clipsée sur le corps de la webcam. Elle est assez large pour cacher les deux objectifs et le flash infrarouge, mais comme on peut la placer n’importe où en largeur, on peut aussi cacher seulement l’objectif « couleur » et laisser l’objectif et le flash IR. Sur d’autres ce n’est pas possible, par exemple au boulot j’ai une Lenovo 500, là le cache est intégré dans le corps de la caméra et coulisse. Mais tel qu’il est foutu, ça cache en premier l’objectif IR, puis l’objectif « couleur » et enfin le flash IR. Du coup pas possible de cacher juste l’objectif « couleur » tout en gardant Hello (cela dit, ça reste possible, quelque soit le modelè de webcam, tant qu’elle a deux objectifs, en se faisant son propre cache…).

Je ne saurais pas dire ce qui est le plus sûr entre la reconnaissance faciale et l’empreinte digitale. Et le PIN est mieux sur certains points (notamment, plus dur à obtenir sous la contrainte), moins sur d’autres (risques de récupération avec un keylogger bas niveau ou par vidéo). Pour info, au niveau d’Android, Google considère le PIN comme plus sûr que la biométrie (et impose en outre de créer un PIN pour pouvoir activer la biométrie… il me semble que c’est le cas aussi avec Hello).

1 « J'aime »
63

@MattS32

  1. Ok, donc double-test bien validé. Merci.
  1. D’accord, et il est toujours possible d’obturer c’elle du laptop et d’y brancher une externe.
  1. Ok, je vois: https://youtu.be/hm0F1Uuh568?t=182
  1. Oui en mettant un bout de scotch noir juste sur l’objectif « couleur » je suppose.
  1. Ok, je pense que dans ce cas la, le PIN est juste la sortie de secours en cas de pb avec le capteur biométrique. Cela dit l’avantage avec la cam, c’est que je suppose que les accès aux comptes sont instantanés ( pas de PIN a taper à chaque fois, pas de geste à faire pour poser son doigt quelque part à chaque fois ). La cam externe peut aussi faire office de cam ( lol ) alors qu’un capteur digital externe ne sert à rien d’autre. Mais aussi à l’image du PIN qui permet de ne pas taper / exposer son password, la cam permet de ne pas taper / exposer son PIN. Que penses tu de cette analyse ? est-on bien d’accord ?

  1. Donc tu confirmes que pour Windows Hello, SEUL l’objectif et le flash IR suffise pour l’authentification Windows Hello ? D’ailleurs peut-on s’authentifier aussi sans le flash IR ?

  2. Je ne sais pas trop ce qu’est un objectif IR ( Infrarouge ? ), mais du coup que voit il ? que capte t’il exactement ?

Merci à toi encore pour toutes ces précisions.
En attente de ta réponse.

Cordialement,