Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
WebAutn finalisé : vers un web moins dépendant des mots de passe

En travaux depuis des années, l'API Web Authentication vise à standardiser l'accès aux dispositifs de connexion biométrique ou via des clés de sécurité (CTAPv2, FIDO2), utilisés seuls ou en complément à un mot de passe.

Déjà intégré à de nombreux navigateurs, utilisé par quelques services comme Hello dans Edge chez Microsoft, WebAuthn est désormais finalisé, annonce le W3C.

La certification FIDO2 récemment obtenue par Android devrait également faciliter l'adoption croissante de ce genre de solutions par les sites web et développeurs d'applications. Il n'y a désormais plus qu'à attendre des annonces en ce sens.

13 commentaires
Avatar de OniriCorpe INpactien
Avatar de OniriCorpeOniriCorpe- 05/03/19 à 10:12:12

Est-ce actuellement supporté (ou planifié) par Firefox ?

Avatar de jpaul Abonné
Avatar de jpauljpaul- 05/03/19 à 10:49:43
Avatar de Soriatane Abonné
Avatar de SoriataneSoriatane- 05/03/19 à 13:15:46

Et comme par hasard pas par Safari 🙄

Avatar de Gersho INpactien
Avatar de GershoGersho- 05/03/19 à 14:25:23

Pour ceux qui utilisent ce type de solutions, ça se passe comment en cas de perte/vol de la clef en question ?

Avatar de anonyme_a2dd0459ec351982c190a3093a8e726f INpactien

La prise en charge de WebAuhn par Safari est bien prévue depuis Décembre ;)
https://www.zdnet.com/article/apple-killing-off-web-passwords-safari-trials-weba...

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 05/03/19 à 19:16:40

Le mot-de-passe a encore de beaux jours devant lui.

En matière d'autorisation d'accès sécurisée, rien ne remplace:

  1. quelque-chose que vous êtes le seul à connaitre et pouvoir donner.

  2. quelque-chose dont personne ne peut vous priver (vol/déstruction).

  3. quelque-chose que vous pouvez changer facilement à tout moment.

    La biométrie, ca ne respecte pas les points 1 et 3.
    Les clés, ca ne respecte pas le point 2.
    Et mettre les deux ensembles, ca ne compense pas mutuellement les faiblesses.

    Bref, ces deux technos sont bien mais elles ne sont pas aussi bien qu'un mot-de-passe.

Édité par 127.0.0.1 le 05/03/2019 à 19:17
Avatar de Soriatane Abonné
Avatar de SoriataneSoriatane- 05/03/19 à 19:18:01

En espérant que cela soit aussi prévu pour la version iOS de webki voir une fonctionnalité d'iOS

Avatar de 33A20158-2813-4F0D-9D4A-FD05E2C42E48 INpactien

Pareil.

Le problème d'un mot de passe c'est que ça s'oublie. Je pense que la solution devrait être de permettre de s'identifier de plusieurs manières différentes.

  • Soit avec une combinaison de plusieurs méthodes simples (mot de passe "simple" + envoi d'un code par SMS)

  • Soit avec une seule méthode mais "sécurisée" (mot de passe comprenant au moins trois lettres, quatre chiffres, un signe de ponctuation, un sinogramme et un dingbat)

    La combinaison PIN/PUK des cartes SIM est un exemple de tel truc.

Avatar de creatix Abonné
Avatar de creatixcreatix- 06/03/19 à 09:35:37

Tout dépend du site, il est parfois possible d'avoir plusieurs clés (et ainsi garder une clés en lieu sûr) ou alors il existe une authentification OTP complémentaire ou alors une liste de code OTP de secours.

Avatar de Cumbalero Abonné
Avatar de CumbaleroCumbalero- 06/03/19 à 14:25:47

33A20158-2813-4F0D-9D4A-FD05E2C42E48 a écrit :

Pareil.

  • Soit avec une combinaison de plusieurs méthodes simples (mot de passe "simple" + envoi d'un code par SMS)

C'est assez rare de considérer qu'un SMS puisse être sécurisé.

Fournir un numéro de téléphone à chaque service/site/éditeur susceptible de te demander une authentification, par contre, c'est très dans l'air du temps. Je te renvoie aux débats et commentaires sur les articles en question.

Il n'est plus possible de commenter cette actualité.
Page 1 / 2