IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Google veut rendre les mots de passe obsolètes en faisant des "passkeys" l'option par défaut

Le , par Nancy Rey
49 commentaires

18PARTAGES

6  0 
Un grand pari pour éliminer le besoin de mots de passe dans le monde,
la FIDO Alliance affirme avoir trouvé la pièce manquante sur la voie d'un avenir sans mot de passe

Après dix ans de travail sur la question d’élimination des mots de passe dans le monde, l'Alliance FIDO, une association industrielle qui travaille spécifiquement sur l'authentification sécurisée, pense avoir enfin identifié la pièce manquante du puzzle. Jeudi, l'organisation a publié un livre blanc qui expose la vision de la FIDO pour résoudre les problèmes d'utilisabilité qui ont entravé les fonctions sans mot de passe et, apparemment, les ont empêchées d'être largement adoptées.

Les membres de la FIDO tels qu'Intel et Qualcomm, de développeurs de plateformes de premier plan tels qu'Amazon et Meta, d'institutions financières telles qu'American Express et Bank of America, ainsi que des développeurs des principaux systèmes d'exploitation Google, Microsoft et Apple ont collaboré à la rédaction de ce livre blanc. Le document est conceptuel et non technique, mais après des années d'investissement pour intégrer les normes sans mot de passe FIDO2 et WebAuthn dans Windows, Android, iOS et d'autres systèmes, tout repose désormais sur le succès de cette nouvelle étape.

La figure ci-dessous résume l'idée d'identifiants FIDO multi-appareils (avec des clés liées à l'appareil) et la manière dont ils diffèrent des identifiants FIDO traditionnels.


« La clé du succès pour la FIDO est d'être facilement disponible, nous devons être aussi omniprésents que les mots de passe », explique Andrew Shikiar, directeur exécutif de l'Alliance FIDO. « Les mots de passe font partie de l'ADN du Web lui-même, et nous essayons de les supplanter. Ne pas utiliser de mot de passe devrait être plus facile que d'utiliser un mot de passe. »

Dans la pratique, cependant, même les systèmes sans mot de passe les plus transparents ne sont pas tout à fait au point. Une partie du défi réside simplement dans l'énorme inertie que les mots de passe ont accumulée. Les mots de passe sont difficiles à utiliser et à gérer, ce qui incite les gens à prendre des raccourcis, comme les réutiliser sur plusieurs comptes, et crée des problèmes de sécurité à chaque fois. Il s'est avéré difficile d'informer les consommateurs sur les alternatives sans mot de passe et de les mettre à l'aise avec ce changement.

Mais au-delà de la simple acclimatation, la FIDO cherche à comprendre ce qui rend les systèmes sans mot de passe difficiles à gérer. Le groupe a conclu que tout se résume à la procédure de changement ou d'ajout de dispositifs. Si la procédure de configuration d'un nouveau téléphone, par exemple, est trop compliquée et qu'il n'y a pas de moyen simple de se connecter à toutes vos applications et à tous vos comptes - ou si vous devez revenir aux mots de passe pour rétablir votre propriété sur ces comptes - la plupart des utilisateurs concluront que c'est trop compliqué de changer le statu quo.

La norme FIDO sans mot de passe s'appuie déjà sur les scanners biométriques d'un appareil (ou un code PIN principal que l’utilisateur sélectionne) pour s’authentifier sans qu'aucune de ses données ne transite par Internet vers un serveur Web pour validation. Le concept principal qui, selon la FIDO, résoudra finalement le problème des nouveaux appareils est la mise en œuvre par les systèmes d'exploitation d'un gestionnaire de « certificats FIDO », qui est quelque peu similaire à un gestionnaire de mots de passe intégré. Au lieu de stocker littéralement les mots de passe, ce mécanisme stockera des clés cryptographiques qui peuvent être synchronisées entre les appareils et sont protégées par le verrouillage biométrique ou par code d'accès de l’appareil.

L'Alliance FIDO et le groupe de travail WebAuthn du W3C proposent de combler ces lacunes dans une nouvelle version ("Niveau 3" de la spécification WebAuthn. Deux avancées proposées en particulier méritent d'être mentionnées :

  • Utiliser son téléphone comme authentificateur d'itinérance : les utilisateurs finaux disposent généralement déjà d'un smartphone ;
    La quasi-totalité des mécanismes d'authentification à deux facteurs de l'espace grand public actuels utilisent déjà le smartphone de l'utilisateur. Le problème est qu'ils le font d'une manière qui peut être piratée : Il est possible de saisir par inadvertance un OTP sur le site d'un cybercriminel, ou il est possible d’approuver une demande de connexion sur son smartphone sans se rendre compte que le navigateur est en train d'utiliser un OTP.

    Les ajouts proposés aux spécifications de la FIDO/WebAuthn définissent un protocole qui utilise le Bluetooth pour communiquer entre le téléphone de l'utilisateur (qui devient l'authentificateur FIDO) et le dispositif à partir duquel l'utilisateur tente de s'authentifier. Le Bluetooth nécessite une proximité physique, ce qui signifie que l’utilisateur diqpose maintenant d’un moyen résistant au phishing pour utiliser le téléphone de l'utilisateur pendant l'authentification.

    Grâce à cet ajout aux normes FIDO/WebAuthn, les déploiements à deux facteurs qui utilisent actuellement le téléphone de l'utilisateur comme second facteur pourront passer à un niveau de sécurité plus élevé (résistance au phishing) sans que l'utilisateur ait besoin de transporter un matériel d'authentification spécialisé (clés de sécurité).
  • Identités FIDO multi-dispositifs : l’équipe s’attend à ce que les fournisseurs d'authentifiants FIDO (en particulier ceux des authentificateurs intégrés dans des plateformes de systèmes d'exploitation) adaptent leurs implémentations d'authentificateurs de sorte qu'un justificatif FIDO puisse resister à la perte d'un appareil. En d'autres termes, si l'utilisateur a configuré un certain nombre d'identifiants FIDO pour différentes parties prenantes sur son téléphone, puis qu'il obtient un nouveau téléphone, il devrait pouvoir s'attendre à ce que toutes ses informations d'identification FIDO soient conservées.

Cela signifie que les utilisateurs n'ont plus besoin de mots de passe lorsqu'ils passent d'un appareil à l'autre, leurs identifiants FIDO sont déjà présentes, prêtes à être utilisées pour une authentification résistante au phishing. Notons que ce changement n'est pas un changement dans la norme c'est un changement que attendu des vendeurs d'authentificateurs dans la mise en œuvre de leur authentificateur. Il existe des propositions de modifications des spécifications WebAuthn et FIDO qui permettraient d'améliorer l'expérience des utilisateurs en matière d'authentification FIDO (y compris les authentifications FIDO multi-appareils), en particulier pour les parties prenantes qui doivent servir des utilisateurs utilisant un mot de passe et des utilisateurs utilisant la FIDO au même moment.

Pour ces informations d'identification FIDO multi-dispositifs, il incombe à la plateforme OS de s'assurer que les informations d'identification sont disponibles là où l'utilisateur en a besoin. (Notons que certaines entreprises appellent les informations d'identification FIDO passkeys dans leurs implémentations de produits, en particulier lorsque ces informations d'identification FIDO peuvent être des informations d'identification sur plusieurs appareils). Tout comme les gestionnaires de mots de passe le font avec les mots de passe, la plateforme OS sous-jacente "synchronisera" les clés cryptographiques qui appartiennent à un utilisateur.

Cela signifie que la sécurité et la disponibilité de la carte d'identité synchronisée d'un utilisateur dépendent de la sécurité de la plateforme OS sous-jacente (Google, Apple, Microsoft, etc.) pour ses comptes en ligne et de la méthode de sécurité utilisée pour rétablir l'accès en cas d'échec.

Si cela ne répond pas toujours aux besoins pour les cas d'utilisation qui exigent, par exemple, l'AAL3, il s'agit d'une amélioration considérable de la sécurité par rapport aux mots de passe. Lors de la conférence mondiale des développeurs d'Apple l'été dernier, la société a annoncé sa propre version de ce que décrit la FIDO, une fonction iCloud connue sous le nom de « Passkeys in iCloud Keychain », qui, selon Apple, est sa « contribution à un monde post-mots de passe ».

« Les Passkeys sont des informations d'identification WebAuthn avec l'incroyable sécurité que la norme offre, combinée à la convivialité d'être sauvegardée, synchronisée et de fonctionner sur tous vos appareils », a expliqué Garrett Davidson, un ingénieur de l'équipe d'expérience d'authentification des applications d'Apple, lors d’une conférence tenue en juin de l’année dernière. « Nous les stockons dans le trousseau iCloud. Comme tout ce qui se trouve dans votre trousseau iCloud, elles sont cryptées de bout en bout, de sorte que même Apple ne peut pas les lire... Et ils sont très faciles à utiliser. Dans la plupart des cas, il suffit d'une simple pression ou d'un clic pour se connecter. »

Si l’utilisateur a perdu son ancien smartphone par exemple, et qu’il possède un nouveau, le processus de transfert peut se faire simplement par le biais du flux de configuration proposé par Apple à ce moment-là. Si l’utilisateur décide de passer à Android, ou s’il passe d'un écosystème numérique à un autre, le processus ne sera peut-être pas aussi simple.

Chacune des plateformes référencées applique une analyse de risque sophistiquée et utilise des seconds facteurs implicites ou explicites lors de l'authentification pendant l'authentification, offrant ainsi des protections de type AAL2 à un grand nombre de leurs utilisateurs. Ce changement, qui consiste à laisser chaque service se débrouiller tout seul avec son propre système d'authentification basé sur un mot de passe, pour s'appuyer sur la plus grande des mécanismes d'authentification des plateformes, est la façon dont les utilisateurs peuvent réduire de manière significative la dépendance excessive de l'internet aux mots de passe à grande échelle.

Source : FIDO Alliance

Et vous ?

Que pensez-vous de cette initiative ? Peut-on parler de révolution pour la sécurité sur le web ?

Voir aussi

Les mots de passe enregistrés sur Google Chrome ne sont pas à l'abri des cyberattaques, la plateforme pourrait être à l'origine de la récente hausse observée des cyberattaques, selon ESET

Les équipes de sécurité trouvent plus facile d'atténuer Log4Shell plutôt que de le corriger définitivement, le délai moyen de remédiation après détection est de 17 jours, selon Qualys Cloud Platform

Les sites web du gouvernement russe sont confrontés à des cyberattaques sans précédent et des efforts techniques sont déployés pour filtrer le trafic web étranger, a déclaré l'agence de presse TASS

CrowdSec dévoile "The Majority Report", son premier rapport sur l'état des lieux de la menace cyber, basé sur les données de la communauté d'utilisateurs de CrowdSec
Vous avez lu gratuitement 4 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

49 commentaires
Commenter Signaler un problème
kain_tn
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 11/10/2023 à 20:32
Citation Envoyé par JPLAROCHE Voir le message
Bref, je n'ai pas de wifi et je n'en veux pas, je ne me sers pas du téléphone comme un ordi (pas de code PIN) . Chaque chose à sa place? Je n'ai pas de caméra ? si vous me proposez un dongle avec mon empreinte cela n'est pas la garantie que c'est moi, il y a multiple façon avec les empreintes ...... alors, on va faire comment… certainement comme pour vendre sa voiture , si vous avez une voiture achetée avant 2017 vous ne pouvez pas accéder au site pour signaler la vente de votre voiture puisque vous n'avez pas reçu votre code qu'il faut garder précieusement dans un coffre, car il vous permet de faire les démarches administratives et le demande .... encore un truc bien pensé, et je vois les personnes âgées paniquées à mort... bref à tout informatisé pour supprimer le personnel ont fini par aller droit dans le mur.

Un bon logiciel, tel KeepassC protège votre mon de passe et c'est gratuit .

Dommage, étant un informaticien de la première heure, j'eusse pensé que cela apporterait un soulagement et non pas des aberrations…
Surtout que Google a perdu pas mal de crédibilité au niveau de la sécurité quand ils ont annoncé il y quelques mois que leur application de gestion des tokens les synchronisait (donc clés privées) sur leur Cloud et que ça n'impactait pas la sécurité...

Ils sont très mal placés pour donner des leçons, et puis en plus, la biométrie et une GAFAM, ça fait encore plus de données privées...

Google cherche à rendre les mots de passe obsolètes en invitant les utilisateurs à créer des codes d'accès pour déverrouiller leurs comptes et appareils à l'aide d'une empreinte digitale, d'un scan du visage ou d'un numéro d'identification personnel.
C'est une des tentatives les plus grosses pour essayer de piquer encore plus de données à leurs utilisateurs. Bref.
4  0 
Aiekick
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 11/10/2023 à 22:55
microsoft et google voulant la fin du mot de passe, qui pour autant est l'option la plus securisé que l'on ai pour deverouiller nos devices...
3  0 
DespairPaprika
Avatar de DespairPaprika
Membre à l'essai https://www.developpez.com
Le 22/12/2024 à 12:54
Je suis étonnée de la brièveté avec laquelle les gestionnaires de mots de passe sont mentionnés. En effet, ils résolvent le problème de rétention, permettant un mot de passe fort et unique par site/service, et ils sont résistants à la perte d'un appareil à condition d'avoir mis en place la synchronisation. Plusieurs d'entre eux sont indépendants des géants du web, open-source et audités (notamment KeePass et Bitwarden). Ajoutez à ça la praticité de l'autocomplétion (au cas où elle ne fonctionne pas, ne générez quand même pas des mdp interminables)

En pratique, j'ajoute à ça l'authentification à deux facteurs TOTP, pour une authentification forte. Certains internautes n'ont pas confiance en Microsoft et Google, alors des indépendants existent (Aegis...). Là aussi il faut faire des sauvegardes, je déconseille de synchroniser sur un serveur car ça annulerait l'intérêt de cette méthode - requérir une de vos possessions pour vous authentifier.

Voilà, comme ça on a une authentification forte, sans passer par les GAFAM, et sans utiliser de biométrie 👍
2  1 
Gluups
Avatar de Gluups
Membre expert https://www.developpez.com
Le 01/01/2025 à 6:12
J'ai eu une machine avec lecteur d'empreinte digitale.

Ça a fonctionné six mois, le temps de montrer à tout le monde que ça marche.

Ensuite, le constructeur et l'éditeur du système d'exploitation se sont renvoyé la balle au sujet d'une incompatibilité. Impossible d'utiliser le lecteur d'empreinte digitale au-delà de cette mise à jour.

Si ça avait été en panne tout de suite, j'aurais pu étudier d'autres propositions, mais au bout de six mois de mises à jour, j'estime que ça ferme la porte à d'autres versions, dont on ne peut jamais exclure qu'une mise à jour les mette hors service une fois que la presse aura le dos tourné.

Donc, j'en reste aux mots de passe.

Le code numérique, assurément c'est pratique à la maison.
Mais je me suis demandé il y a quelques semaines comment Microsoft allait s'y prendre pour nous prouver qu'un mot de passe de quatre caractères parmi dix c'est plus sécurisé que huit caractères parmi cinquante deux, et je n'ai pas connaissance d'avoir reçu une réponse depuis.

***
J'ai dit cinquante deux parce que je ne suis pas très réveillé, mais ça c'est juste les lettres. Si on ajoute dix chiffres et dix signes de ponctuation on en est à soixante-douze.
1  0 
JPLAROCHE
Avatar de JPLAROCHE
Membre expérimenté https://www.developpez.com
Le 11/10/2023 à 20:23
Citation Envoyé par Nancy Rey Voir le message
Google envisage de supprimer les mots de passe en faisant des "passkeys" l'option par défaut

Bref, je n'ai pas de wifi et je n'en veux pas, je ne me sers pas du téléphone comme un ordi (pas de code PIN) . Chaque chose à sa place? Je n'ai pas de caméra ? si vous me proposez un dongle avec mon empreinte cela n'est pas la garantie que c'est moi, il y a multiple façon avec les empreintes ...... alors, on va faire comment… certainement comme pour vendre sa voiture , si vous avez une voiture achetée avant 2017 vous ne pouvez pas accéder au site pour signaler la vente de votre voiture puisque vous n'avez pas reçu votre code qu'il faut garder précieusement dans un coffre, car il vous permet de faire les démarches administratives et le demande .... encore un truc bien pensé, et je vois les personnes âgées paniquées à mort... bref à tout informatisé pour supprimer le personnel ont fini par aller droit dans le mur.

Un bon logiciel, tel KeepassC protège votre mon de passe et c'est gratuit .

Dommage, étant un informaticien de la première heure, j'eusse pensé que cela apporterait un soulagement et non pas des aberrations…
1  1 
Fagus
Avatar de Fagus
Membre expert https://www.developpez.com
Le 12/10/2023 à 11:52
Citation Envoyé par Aiekick Voir le message
microsoft et google voulant la fin du mot de passe, qui pour autant est l'option la plus securisé que l'on ai pour deverouiller nos devices...
C'est sans doute vrai pour déverrouiller un appareil, mais c'est faux pour un site web ou une authentification à distance.

Dès que c'est à distance, il y a un risque :
  • De vol des couples id/pass sur le serveur distant s'il est compromis
  • De vol des couples id/pass sur le client s'il est compromis
  • De vol des couples id/pass par fishing (pas seulement fishing moche par Google <w54867@liberiamail.xxx>, mais aussi le fishing parfait avec un site identique à l'original avec votre vrai nom et quelques infos perso pour mettre en confiance)


Dans ma boîte, tous les ans ils font une tentative de fishing interne (assez quelconque, même pas personnalisée, somme toute assez similaire à tous les fishing réels qu'on reçoit régulièrement), et à chaque fois il y a quelque chose comme 5 à 10% des gens qui donnent volontairement leurs identifiants. C'est quand même la preuve que c'est insécurisable...

Comment savoir qu'on est sur le bon site ? En vrai c'est impossible. Il faudrait vérifier l'url (avec tous les typosquattages possibles) et le certificat, sachant que de temps en temps des clés des autorités de certification sont volées, et que de toutes façons, les plus grosses sociétés passent leur temps à changer leurs url et leurs certificats sans jamais rien communiquer.

Avec l'authentification sans mot de passe à la sauce FIDO, le site web envoie un défi par clé publique et le client y répond en utilisant sa clé privée. À chaque fois, on est cryptographiquement sûr de savoir qui est qui.

Alors, ensuite arrivent les détails. Comment gérer des couples de clés cryptographiques ? Idéalement, elles sont stockées dans des TPM "inviolables" (y'en a dans les PC et les téléphones, faut bien que ça serve à quelque chose )...
J'ai pas trop vu le détail du schéma de google, mais je suppose qu'ils se proposent "bien aimablement" de sauvegarder tous les identifiants bien au chaud sur leurs serveurs et de ne jamais les divulguer à qui leur demanderait... Forcément, si c'était juste dans le téléphone, la perte du téléphone sans sauvegarde, c'est la fin du monde (si vous m'avez lu jusqu'ici, vous aurez compris que Me Michu ne va pas lire la doc du protocole de sauvegarde des clés cryptographiques).

Sinon, on peut s'acheter un token cryptographique (yubikey... ; on peut en fabriquer un aussi un pas très sécurisé mais très économique avec un raspberry pico). On reste propriétaire de ses clés, et propriétaire de la procédure de backup.
0  0 
Fagus
Avatar de Fagus
Membre expert https://www.developpez.com
Le 23/12/2024 à 22:50
Citation Envoyé par DespairPaprika Voir le message
[...]les gestionnaires de mots de passe sont mentionnés.[...]
Voilà, comme ça on a une authentification forte, sans passer par les GAFAM, et sans utiliser de biométrie 👍
Les mots de passe sont sensibles à l'hameçonnage entre autres.
ex :
1 achat sur un site web référencé dans google.
2 création de compte, ouverture au paiement de la fenêtre de votre banque ou de paypal
3 vous validez tout
4 découverte que le site est tenu par des brouteurs qui ont fait un site parfait en pompant des sites légitimes (j'en vois de temps en temps correctement référencés avec l'adresse et le siret), qu'ils ont copié parfaitement le site de la banque, et qu'ils ont l'argent et tous les identifiants.

Que pensez-vous de la clé de sécurité ?
Que pensez-vous des Passkeys ?
D'après ce que j'ai compris, les passkeys standards sont basés sur des clés privées liées au site, donc pas d'hameçonnage, donc bien, mais que tout est synchronisé sur les cloud de MS/google/apple qui donc obtiennent tous les accès pour la plus grande joie des américains.
De plus, que se passe-t-il si on perd son appareil ? c'est simple, on retélécharge ses clés sur un nouvel appareil en passant par son compte google ou microsoft... auquel donc on accède par un bête mot de passe !!!
Donc, si on se fait voler son compte google ou MS mal sécurisé par un bête mot de passe, on donne tous les accès sécurisés au voleur !! mais c'est génial

La clé de sécurité avec FIDO c'est pareil, mais on garde ses clés (et donc on a intérêt à garder une clé en double dans une endroit sécurisé qui ne va pas cramer en même temps en cas de sinistre).
On peut aussi sécuriser son compte google etc avec FIDO, et on a un peu envie pour peu qu'il s'agisse du compte développeur.
1  1 
Gluups
Avatar de Gluups
Membre expert https://www.developpez.com
Le 01/01/2025 à 11:49
Avec le code PIN numérique, je suis loin du compte.

En allant voir sur passkeys.com j'ai vu un peu plus de quoi il retourne.

Le principe est que la chaîne de caractères qu'on envoie en ligne pour s'authentifier n'est valable que quelques secondes.

Donc, le pirate crée un site web pour vous inviter à vous authentifier donc fournir votre mot de passe, seulement pas de bol pour lui, quand il va vouloir s'en servir, ce mot de passe ne sera plus valable.

Jusque là, la protection contre le phishing consistait à ignorer ce qui était un peu trop absurde pour être honnête. Mais de la même façon que dans une salle de bain on ne doit pas pouvoir toucher un appareil électrique depuis la baignoire même si on le veut, de même pour s'authentifier c'est quand même mieux qu'on ne puisse pas envoyer son mot de passe à un pirate même si on le veut.

Pour mettre ça en œuvre, bien entendu, l'initiative revient aux serveurs.

D'un autre côté, l'utilisateur doit s'authentifier sur sa machine pour ouvrir une session, et c'est après ça que les logiciels se débrouillent entre eux pour réaliser l'authentification sans même que l'utilisateur ait à avoir conscience qu'il est en train de se passer quelque chose. Enfin si j'ai bien compris.

Et là encore si j'ai bien compris, je suppose que le navigateur web doit implémenter la technologie.

Nous avons donc deux sujets :
  • l'authentification sur la machine de l'utilisateur
  • et l'authentification sur un serveur


Il m'apparaît que ce que j'ai dit précédemment reste valable pour l'authentification sur la machine de l'utilisateur.

Pour un serveur, les administrateurs ont effectivement à disposition les moyens d'une authentification d'un nouveau genre, où les mails du genre "vous avez un nouvel identifiant" ne seront plus gênants que par le bruit qu'ils représentent, et plus par ce que Madame Michu pourrait en faire.
0  0 
weed
Avatar de weed
Membre chevronné https://www.developpez.com
Le 02/01/2025 à 13:23
Je viens de tomber sur une discussion intéressant sur Reddit à peu près similaire
Le travail m'oblige à installer Microsoft Authenticator sur mon téléphone.
https://www.reddit.com/r/privacy/com...crosoft/?tl=fr

avec les messages suivants :

MS a la possibilité de désactiver le compte MS si l'application MS Authenticator ne lui envoie pas de flux de données de coordonnées GPS. Vous ne pouvez pas désactiver l'application et si vous essayez d'exécuter une application de géoconfidentialité sur votre téléphone, elle aura également la possibilité de désactiver votre compte.
Encore une fois, ce n’est pas vrai. De nombreuses petites et moyennes entreprises utilisent les services cloud Microsoft. Que vous y accédiez sur place, à votre domicile ou en déplacement, tout cela est « inconnu » pour Microsoft jusqu'à ce qu'il confirme votre identité. Je me bats tous les jours... avec notre support informatique et leur support MS. Ce qu'il faut retenir, c'est que c'est la méthode MS, alors gérez-le.

Une partie du problème réside dans le fait que de nombreux informaticiens ne comprennent pas vraiment la technologie de sécurité moderne. MS Authenticator utilise plusieurs vecteurs, notamment les coordonnées GPS, WiFi/BT SSID/MAC, pour vous suivre. S'il s'agit d'un simple TOTP, le service informatique peut délivrer un jeton à l'utilisateur... ce serait beaucoup moins cher que d'émettre un téléphone avec des frais mensuels. Ils ne le peuvent pas parce que MS souhaite suivre et collecter les données des utilisateurs.
Pas seulement TOTP... MS Authenticator collecte les coordonnées GPS à tout moment et les utilise comme vecteur géographique et crée une carte d'informations sur tous les endroits où vous vous rendez. J’aimerais que les gens prêtent vraiment attention à ces choses plutôt que de simplement supposer que tout peut être accepté.
Bref si il y avait un standard, pourquoi pas. Mais j'ai l'impression qu'il n'y a pas de standard et que l'on soit obliger d'utiliser des logiciels proprio.
0  0 
weed
Avatar de weed
Membre chevronné https://www.developpez.com
Le 20/12/2024 à 9:46
Citation Envoyé par Patrick Ruiz Voir le message
Que pensez-vous des alternatives aux mots de passe comme Windows Hello, Microsoft Authenticator, la clé de sécurité ou le code de vérification envoyé à votre téléphone ou par e-mail ?
Ce serait une mauvaise idée de passer par Microsoft Authenticator. Mieux vaut ne pas mettre tous ses oeufs dans le même panier. Je viens de voir par exemple que le gestionnaire de mot de passe libre supporte les passkey kepassxc :
https://goodtech.info/keepassxc-nouveautes/

Citation Envoyé par Patrick Ruiz Voir le message
Que pensez-vous des Passkeys de Google ? Le nouveau cheval de Troie de Google ?
Pas top en effet. On donne sufisamment d'info à Google, ce n'est en effet pas une bonne idée. On ne sait pas ce qu'il peut se passe.

Citation Envoyé par Patrick Ruiz Voir le message
Des retombées sur des outils comme les gestionnaires de mots de passe si ces alternatives venaient à être adoptées massivement par internet et les internautes ?
Pourquoi pas. Après il reste toujours les certificats client SSL
0  1 
Commenter Signaler un problème