L'Alliance FIDO a publié une version préliminaire d'un nouvel ensemble de spécifications qui, une fois mises en œuvre par les principaux fournisseurs de clés de sécurité, permettra d'importer et d'exporter des passkeys d'une manière à la fois pratique et sécurisée. Selon 1Password, il s'agit d'une étape importante pour s'assurer que les propositions sont réellement adaptées aux objectifs.Les passkeys sont conçus pour offrir aux sites web et aux applications une expérience de connexion sans mot de passe qui est à la fois plus pratique et plus sûre. Les Passkeys reposent sur la norme WebAuthentication (ou "WebAuthn"
, qui utilise la cryptographie à clé publique. Lors de l'enregistrement du compte, le système d'exploitation crée une paire de clés cryptographiques unique à associer à un compte pour l'application ou le site web. Ces clés sont générées par l'appareil, de manière sûre et unique, pour chaque compte.L'une de ces clés est publique et est stockée sur le serveur. Cette clé publique n'est pas secrète. L'autre clé est privée, et c'est ce qui est nécessaire pour se connecter. Le serveur n'a jamais connaissance de la clé privée. De cette manière, les Passkeys résistent à l'hameçonnage, sont toujours fortes et conçues de manière à ce qu'il n'y ait pas de secrets partagés. Elles simplifient l'enregistrement des comptes pour les applications et les sites web, avec l'objectif de remplacer les mots de passe.
Si les passkeys présentent de tels avantages, pour l'instant, ils ne peuvent être déplacés en toute sécurité et sont confinés à l'écosystème logiciel de chaque entreprise. Pour résoudre ce problème, l'Alliance FIDO a publié une version préliminaire d'un nouvel ensemble de spécifications pour pouvoir importer et exporter des clés d'accès en toute sécurité.
[TWITTER]<blockquote class="twitter-tweet"><p lang="en" dir="ltr">Exciting News on Passkeys! 🔑<br><br>We teamed up with <a href="https://twitter.com/FIDOAlliance?ref_src=twsrc%5Etfw">@FIDOAlliance</a> members, including <a href="https://twitter.com/Google?ref_src=twsrc%5Etfw">@Google</a>, <a href="https://twitter.com/Apple?ref_src=twsrc%5Etfw">@Apple</a>, <a href="https://twitter.com/Microsoft?ref_src=twsrc%5Etfw">@Microsoft</a>, and <a href="https://twitter.com/Samsung?ref_src=twsrc%5Etfw">@Samsung</a> to develop a new set of specifications that will allow you to import and export passkey.<br><br>These specifications introduce a universal format and a secure way… <a href="https://t.co/RRrayjT6Mq">pic.twitter.com/RRrayjT6Mq</a></p>— 1Password (@1Password) <a href="https://twitter.com/1Password/status/1845842181111611599?ref_src=twsrc%5Etfw">October 14, 2024</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script>[/TWITTER]
Importer et exporter les passkeys en toute sécurité
Les passkeys présentent des avantages par rapport aux mots de passe. Ils sont plus simples à utiliser car il n'y a rien à mémoriser, à taper ou à coller. De plus, ils sont toujours robustes et intègrent l'authentification multifactorielle. En bref, les passkeys sont meilleurs que les mots de passe. Mais pourquoi les passkeys ne sont-ils pas autant populaires que les mots de passe ? Quel est le problème ?
À l'heure actuelle, vous ne pouvez pas déplacer vos passkeys en toute sécurité entre différents gestionnaires de mots de passe. Il s'agit d'une lacune technique qu'il faut résoudre. Après de nombreux mois de réflexion, de prototypage et de discussion entre entreprises de sécurité, l'Alliance FIDO a présenté deux projets de spécifications des passkeys.
L'Alliance FIDO est une association industrielle ouverte dont la mission est de réduire la dépendance du monde à l'égard des mots de passe. L'Alliance FIDO a publié une version préliminaire d'un nouvel ensemble de spécifications qui, une fois mises en œuvre par les principaux fournisseurs de clés de sécurité, vous permettront d'importer et d'exporter des passkeys d'une manière à la fois pratique et sécurisée.
Ces nouvelles spécifications sont appelées :
- Credential Exchange Protocol (CXP)
- Credential Exchange Format (CXF)
Ces spécifications fournissent un format universel et un mécanisme sécurisé pour le transfert de toutes sortes d'informations d'identification. Cela comprend les passkeys, les mots de passe traditionnels et tout ce qui est généralement traité à l'aide d'un fichier CSV. Si toutes les entreprises adoptent ces nouvelles spécifications, il sera plus simple pour tout le monde d'utiliser et de stocker les passkeys là où ils le souhaitent.
Voici l'annonce de l'Alliance FIDO le 14 octobre 2024 :
L'alliance FIDO publie de nouvelles spécifications visant à promouvoir le choix de l'utilisateur et l'amélioration de l'expérience utilisateur pour les passkeys.
La FIDO Alliance a publié une version préliminaire d'un nouvel ensemble de spécifications pour l'échange sécurisé d'informations d'identification qui, une fois normalisées et mises en œuvre par les fournisseurs d'informations d'identification, permettront aux utilisateurs de transférer en toute sécurité des passkeys et toutes autres informations d'identification d'un fournisseur à l'autre. Ces spécifications sont le fruit de l'engagement et de la collaboration des membres du Credential Provider Special Interest Group de la FIDO Alliance, notamment des représentants de : 1Password, Apple, Bitwarden, Dashlane, Enpass, Google, Microsoft, NordPass, Okta, Samsung et SK Telecom.
L'échange sécurisé d'informations d'identification est l'une des priorités de l'alliance FIDO, car il peut contribuer à accélérer l'adoption des passkeys et à améliorer l'expérience des utilisateurs. Aujourd'hui, plus de 12 milliards de comptes en ligne sont accessibles avec des passkeys et les avantages sont évidents : les connexions avec des passkeys réduisent le phishing et éliminent la réutilisation des informations d'identification tout en rendant les connexions jusqu'à 75 % plus rapides et 20 % plus réussies que les mots de passe ou les mots de passe plus un deuxième facteur comme le SMS OTP.
Forte de cet élan, l'alliance FIDO s'est engagée à favoriser un écosystème ouvert, à promouvoir le choix de l'utilisateur et à réduire les obstacles techniques liés aux passkeys. Il est essentiel que les utilisateurs puissent choisir la plateforme de gestion des identifiants qu'ils préfèrent et changer de fournisseur d'identifiants en toute sécurité et sans contrainte. Jusqu'à présent, il n'existait pas de norme pour le déplacement sécurisé des informations d'identification, et le déplacement des mots de passe ou d'autres informations d'identification s'effectuait souvent en clair.
Les projets de spécifications de la FIDO Alliance - Credential Exchange Protocol (CXP) et Credential Exchange Format (CXF) - définissent un format standard pour le transfert d'informations d'identification dans un gestionnaire d'informations d'identification, y compris les mots de passe, les clés de passe et autres, vers un autre fournisseur d'une manière qui garantit que le transfert n'est pas effectué en clair et qu'il est sécurisé par défaut.
Une fois normalisées, ces spécifications seront ouvertes et disponibles pour que les fournisseurs d'informations d'identification les mettent en œuvre afin que leurs utilisateurs puissent bénéficier d'une expérience sûre et facile lorsqu'ils choisissent de changer de fournisseur.
Les projets de spécifications sont ouverts à l'examen et aux commentaires de la communauté ; ils ne sont pas encore destinés à être mis en œuvre car les spécifications peuvent être modifiées. Les personnes intéressées peuvent lire les projets de spécifications ici et faire part de leurs commentaires sur le site GitHub de l'Alliance. Les projets devraient être mis à jour et publiés régulièrement pour examen public jusqu'à ce que les spécifications soient approuvées pour la mise en œuvre.
L'Alliance FIDO remercie tout particulièrement les membres du Credential Provider Special Interest Group et ses responsables pour leur contribution à cette importante spécification.
La FIDO Alliance a publié une version préliminaire d'un nouvel ensemble de spécifications pour l'échange sécurisé d'informations d'identification qui, une fois normalisées et mises en œuvre par les fournisseurs d'informations d'identification, permettront aux utilisateurs de transférer en toute sécurité des passkeys et toutes autres informations d'identification d'un fournisseur à l'autre. Ces spécifications sont le fruit de l'engagement et de la collaboration des membres du Credential Provider Special Interest Group de la FIDO Alliance, notamment des représentants de : 1Password, Apple, Bitwarden, Dashlane, Enpass, Google, Microsoft, NordPass, Okta, Samsung et SK Telecom.
L'échange sécurisé d'informations d'identification est l'une des priorités de l'alliance FIDO, car il peut contribuer à accélérer l'adoption des passkeys et à améliorer l'expérience des utilisateurs. Aujourd'hui, plus de 12 milliards de comptes en ligne sont accessibles avec des passkeys et les avantages sont évidents : les connexions avec des passkeys réduisent le phishing et éliminent la réutilisation des informations d'identification tout en rendant les connexions jusqu'à 75 % plus rapides et 20 % plus réussies que les mots de passe ou les mots de passe plus un deuxième facteur comme le SMS OTP.
Forte de cet élan, l'alliance FIDO s'est engagée à favoriser un écosystème ouvert, à promouvoir le choix de l'utilisateur et à réduire les obstacles techniques liés aux passkeys. Il est essentiel que les utilisateurs puissent choisir la plateforme de gestion des identifiants qu'ils préfèrent et changer de fournisseur d'identifiants en toute sécurité et sans contrainte. Jusqu'à présent, il n'existait pas de norme pour le déplacement sécurisé des informations d'identification, et le déplacement des mots de passe ou d'autres informations d'identification s'effectuait souvent en clair.
Les projets de spécifications de la FIDO Alliance - Credential Exchange Protocol (CXP) et Credential Exchange Format (CXF) - définissent un format standard pour le transfert d'informations d'identification dans un gestionnaire d'informations d'identification, y compris les mots de passe, les clés de passe et autres, vers un autre fournisseur d'une manière qui garantit que le transfert n'est pas effectué en clair et qu'il est sécurisé par défaut.
Une fois normalisées, ces spécifications seront ouvertes et disponibles pour que les fournisseurs d'informations d'identification les mettent en œuvre afin que leurs utilisateurs puissent bénéficier d'une expérience sûre et facile lorsqu'ils choisissent de changer de fournisseur.
Les projets de spécifications sont ouverts à l'examen et aux commentaires de la communauté ; ils ne sont pas encore destinés à être mis en œuvre car les spécifications peuvent être modifiées. Les personnes intéressées peuvent lire les projets de spécifications ici et faire part de leurs commentaires sur le site GitHub de l'Alliance. Les projets devraient être mis à jour et publiés régulièrement pour examen public jusqu'à ce que les spécifications soient approuvées pour la mise en œuvre.
L'Alliance FIDO remercie tout particulièrement les membres du Credential Provider Special Interest Group et ses responsables pour leur contribution à cette importante spécification.
Pourquoi cette initiative ?
Selon 1Password, qui a rejoint l'Alliance en 2022 et est membre du conseil d'administration, vous êtes propriétaire de vos données. Une véritable propriété signifie que vous...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.