L'Alliance FIDO veut rendre possible l'exportation et l'importation des Passkeys

Car actuellement les Passkeys sont confinés à l'écosystème logiciel de chaque entreprise

L'Alliance FIDO a publié une version préliminaire d'un nouvel ensemble de spécifications qui, une fois mises en œuvre par les principaux fournisseurs de clés de sécurité, permettra d'importer et d'exporter des passkeys d'une manière à la fois pratique et sécurisée. Selon 1Password, il s'agit d'une étape importante pour s'assurer que les propositions sont réellement adaptées aux objectifs.

Les passkeys sont conçus pour offrir aux sites web et aux applications une expérience de connexion sans mot de passe qui est à la fois plus pratique et plus sûre. Les Passkeys reposent sur la norme WebAuthentication (ou "WebAuthn", qui utilise la cryptographie à clé publique. Lors de l'enregistrement du compte, le système d'exploitation crée une paire de clés cryptographiques unique à associer à un compte pour l'application ou le site web. Ces clés sont générées par l'appareil, de manière sûre et unique, pour chaque compte.

L'une de ces clés est publique et est stockée sur le serveur. Cette clé publique n'est pas secrète. L'autre clé est privée, et c'est ce qui est nécessaire pour se connecter. Le serveur n'a jamais connaissance de la clé privée. De cette manière, les Passkeys résistent à l'hameçonnage, sont toujours fortes et conçues de manière à ce qu'il n'y ait pas de secrets partagés. Elles simplifient l'enregistrement des comptes pour les applications et les sites web, avec l'objectif de remplacer les mots de passe.

Si les passkeys présentent de tels avantages, pour l'instant, ils ne peuvent être déplacés en toute sécurité et sont confinés à l'écosystème logiciel de chaque entreprise. Pour résoudre ce problème, l'Alliance FIDO a publié une version préliminaire d'un nouvel ensemble de spécifications pour pouvoir importer et exporter des clés d'accès en toute sécurité.

[TWITTER]<blockquote class="twitter-tweet"><p lang="en" dir="ltr">Exciting News on Passkeys! 🔑<br><br>We teamed up with <a href="https://twitter.com/FIDOAlliance?ref_src=twsrc%5Etfw">@FIDOAlliance</a> members, including <a href="https://twitter.com/Google?ref_src=twsrc%5Etfw">@Google</a>, <a href="https://twitter.com/Apple?ref_src=twsrc%5Etfw">@Apple</a>, <a href="https://twitter.com/Microsoft?ref_src=twsrc%5Etfw">@Microsoft</a>, and <a href="https://twitter.com/Samsung?ref_src=twsrc%5Etfw">@Samsung</a> to develop a new set of specifications that will allow you to import and export passkey.<br><br>These specifications introduce a universal format and a secure way… <a href="https://t.co/RRrayjT6Mq">pic.twitter.com/RRrayjT6Mq</a></p>— 1Password (@1Password) <a href="https://twitter.com/1Password/status/1845842181111611599?ref_src=twsrc%5Etfw">October 14, 2024</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script>[/TWITTER]

Importer et exporter les passkeys en toute sécurité

Les passkeys présentent des avantages par rapport aux mots de passe. Ils sont plus simples à utiliser car il n'y a rien à mémoriser, à taper ou à coller. De plus, ils sont toujours robustes et intègrent l'authentification multifactorielle. En bref, les passkeys sont meilleurs que les mots de passe. Mais pourquoi les passkeys ne sont-ils pas autant populaires que les mots de passe ? Quel est le problème ?

À l'heure actuelle, vous ne pouvez pas déplacer vos passkeys en toute sécurité entre différents gestionnaires de mots de passe. Il s'agit d'une lacune technique qu'il faut résoudre. Après de nombreux mois de réflexion, de prototypage et de discussion entre entreprises de sécurité, l'Alliance FIDO a présenté deux projets de spécifications des passkeys.

L'Alliance FIDO est une association industrielle ouverte dont la mission est de réduire la dépendance du monde à l'égard des mots de passe. L'Alliance FIDO a publié une version préliminaire d'un nouvel ensemble de spécifications qui, une fois mises en œuvre par les principaux fournisseurs de clés de sécurité, vous permettront d'importer et d'exporter des passkeys d'une manière à la fois pratique et sécurisée.

Ces nouvelles spécifications sont appelées :

• Credential Exchange Protocol (CXP)
• Credential Exchange Format (CXF)

Ces spécifications fournissent un format universel et un mécanisme sécurisé pour le transfert de toutes sortes d'informations d'identification. Cela comprend les passkeys, les mots de passe traditionnels et tout ce qui est généralement traité à l'aide d'un fichier CSV. Si toutes les entreprises adoptent ces nouvelles spécifications, il sera plus simple pour tout le monde d'utiliser et de stocker les passkeys là où ils le souhaitent.

Voici l'annonce de l'Alliance FIDO le 14 octobre 2024 :