La gestion des mots de passe c’est l’une des problématiques récurrentes sur le web. Pour assurer une bonne sécurité de ses comptes, il est généralement conseillé d’utiliser des mots de passe différents pour chaque service, ce qui peut les rendre difficiles à retenir.
Depuis plusieurs années, les géants de web se sont réunis au sein de la FIDO Alliance dont le but est d’en finir avec les mots de passe. Cette alliance regroupe Amazon, Google, Microsoft, mais aussi des acteurs directs de la sécurité comme Synaptics et Gemalto.
WebAuthn : une identification simple par smartphone
Le W3C et la FIDO Alliance ont dévoilé WebAuthn, un protocole que les sites web vont pouvoir intégrer pour gérer l’authentification des utilisateurs. Google, Mozilla et Microsoft ont déjà annoncé l’intégration de ce protocole à Chrome, Firefox et Edge qui représentent la grande majorité des navigateurs utilisés.
A la place d’un couple login et mot de passe, les utilisateurs pourront se servir de la biométrie pour s’identifier, en utilisant soit un moyen accessible sur la machine, soit un smartphone. Ce dernier pourra communiquer avec le site web chargé sur l’ordinateur à travers le Bluetooth, l’USB ou le NFC.
Mettre fin au fishing
La FIDO Alliance présente ce nouveau protocole comme un moyen d’éradiquer le fishing, cette pratique qui consiste pour un site ou un mail malveillant à imiter le style d’un site connu pour inciter l’utilisateur peu regardant à communiquer ses identifiants.
Comme l’identifiant et le mot de passe n’interviennent plus dans l’identification de l’utilisateur au service, mais que c’est le navigateur qui s’en charge, ces techniques ne devraient plus fonctionner.
Envie de rejoindre une communauté de passionnés ? Notre Discord vous accueille, c’est un lieu d’entraide et de passion autour de la tech.
Laisser plus de la taille d'un bras entre son smartphone et soi, c'est pas non plus l'utilisation la plus courante. Sinon, pas besoin de quitter, il parait qu'Android est multitâche et multi-fenêtre :-P
Quand ai je dit que j'y connaissais qque chose. Mais tu as raison, j'aurais dû afficher en début de commentaire: "Ce qui suit n'est qu'une simple supposition de l'auteur de ce commentaire a propose de ce qu'il a lu dans l'article ci dessus et non des informations fournies par un spécialiste de la question. "
J'ai pas envie de développer, ce que l'auteur de l'article aurait du faire. J'ai été lire ailleurs. Infra clé privée/publique, etc... Je me permets de te dire que tu as tord, parce que j'ai lu sur le sujet. PArler de NFC ici montre bien que tu n'en sais pas grand chose.
Ok. Et donc toi quand tu interviens dans une conversation dans la rue, tu commences toujours par "t'es à coté de la plaque" ou c'est juste parce que tu es planqué derrière le réseau que tu te permets ca??
Tu es complètement à côté de la plaque. Renseigne-toi, ça marche pas du tout comme ça.
Ben déjà, en cas de connections sur mon smartphone, il faut que je quitte la page pour ouvrir smart lock, puis c'est en utilisant ce service que je me suis rendu compte que je n'avais pas toujours mon smartphone avec moi. Quand il est dans la cuisine et moi dans le salon, bon, passe encore.. mais quand je suis bâtiment F et qu'il est resté à l'administration a 600metres... ?
Comment ça ?
D'ailleurs, ayant testé l'appli de double authentification de Google, je n'ai pas été convaincu. Même moi qui ait mon portable à portée de main quasiment tout le temps, je me suis trouvé gêné par cette double authentification..
Très intéressant! Reste à voir, à l'usage et avec le temps, qu'on ne trouve pas une faille critique à ce système.
Petit conseil. Renseigne au maximum tous les champs de récuperation de mot de passe. Y compris ton téléphone mobile ou d'autres éléments de sécours. J'ai perdu mon mot de passe d'accès (oui lol). Et renseigner mon mail ne suffisait pas, ca demandait deux moyens d'auhentification que j'ai jamais renseigné par bug de l'interface. Mon passeport sur un vieux PC a permis de récopier manuellement mes mot de passe, mais pas de récupèrer l'accès integral à mon compte pour continuer à le deployer sur d'autres postes.
Oh oui des licornes !!!
Y'a aussi Moltes et le secret de la Licorne, Moltes aux Amériques, Moltes 714 pour Sydney...
J'ai mal lu l'article c'est vrai ! Merci pour ton explication ??
Sinon, Moltes contre Fantomas, Moltes au pays des merveilles, Moltes et les extraterrestres... ;-)
Selon certains il y a des sauvegardes sous Android... Typiquement le genre de problématique qui serait gérée si c'était le cas. Et... Ben non. C'est même pas foutu de sauvegarder un bête certificat.
Ce qu'on appelle couramment une double authentification. On peut utiliser ce que l'on est (biométrie), ce que l'on sait (mot de passe, identifiant...), ou ce que l'on a (badge, smartphone...) comme facteurs. 2 couramment, comme l'exemple de la banque, ou le sujet de l'article.
Tu rencontres encore le problème de ban ? Sache que c'est fort probable que ce soit un bug de Disqus (m'enfin j'imagine qu'on te l'a déjà dit)
Avec lastpass je n'ai plus besoin de retenir tout mes mots de passe. Mais cette recommandation est vraiment très intéressante. Cependant, elle ne doit pas être l'unique possibilité d'accès aux comptes des utilisateurs. Imaginons que j'ai en ma possession un smartphone sans lecteur biométrique comment cela se passe-t-il alors. Il faut laisser le choix à l'utilisateur d'activer à sa guise cette nouvelle manière de sécuriser son compte utilisateur. Un peu comme l'authentification à double facteur.
Tu arrives sur le site de ta banque depuis ton pc, qui te demande de l'identifier via un pop UP sur ton smartphone. Tu passes ton doigt sur le capteur, c'est transmis par BT ou NFC au pc, qui valide ton identité
Alors ça c'est quand même une petite révolution. J'ignorais que ce projet étais en cours. Mais du coup si ça utilise n'importe quel smartphone la securité est variable, et il y a toujours la faille du frère jumeau qui arrive a s'authentifier non ? Et les capteurs qui font pas la différence avec une simple photo ?
Relis l'article alors, t'as pas dû bien comprendre :) (faut dire que l'article est pas très explicite là dessus). Là, ce sera une norme. Pas question de payer un abonnement ou de devoir recourir à un logiciel tiers. C'est natif, universel et surtout, tu n'auras plus besoin d'avoir un mot de passe donc plus de gestionnaire de mot de passe. Dans l'idée, c'est comme une double authentification.
D'accord mais ça marche comment ?
Dashlane fait ça très bien !
Ça a lair d'être une bonne initiative, mais il faudra avoir tout de même enregistré le mot de passe une fois. Du coup si on est sur un autre appareil ou qu'on en remplace un, il faudra toujours s'en souvenir ☺
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix