Credential Exchange Protocol (CXP)

Credential Exchange Format (CXF)

L'alliance FIDO publie de nouvelles spécifications visant à promouvoir le choix de l'utilisateur et l'amélioration de l'expérience utilisateur pour les passkeys.



La FIDO Alliance a publié une version préliminaire d'un nouvel ensemble de spécifications pour l'échange sécurisé d'informations d'identification qui, une fois normalisées et mises en œuvre par les fournisseurs d'informations d'identification, permettront aux utilisateurs de transférer en toute sécurité des passkeys et toutes autres informations d'identification d'un fournisseur à l'autre. Ces spécifications sont le fruit de l'engagement et de la collaboration des membres du Credential Provider Special Interest Group de la FIDO Alliance, notamment des représentants de : 1Password, Apple, Bitwarden, Dashlane, Enpass, Google, Microsoft, NordPass, Okta, Samsung et SK Telecom.



L'échange sécurisé d'informations d'identification est l'une des priorités de l'alliance FIDO, car il peut contribuer à accélérer l'adoption des passkeys et à améliorer l'expérience des utilisateurs. Aujourd'hui, plus de 12 milliards de comptes en ligne sont accessibles avec des passkeys et les avantages sont évidents : les connexions avec des passkeys réduisent le phishing et éliminent la réutilisation des informations d'identification tout en rendant les connexions jusqu'à 75 % plus rapides et 20 % plus réussies que les mots de passe ou les mots de passe plus un deuxième facteur comme le SMS OTP.



Forte de cet élan, l'alliance FIDO s'est engagée à favoriser un écosystème ouvert, à promouvoir le choix de l'utilisateur et à réduire les obstacles techniques liés aux passkeys. Il est essentiel que les utilisateurs puissent choisir la plateforme de gestion des identifiants qu'ils préfèrent et changer de fournisseur d'identifiants en toute sécurité et sans contrainte. Jusqu'à présent, il n'existait pas de norme pour le déplacement sécurisé des informations d'identification, et le déplacement des mots de passe ou d'autres informations d'identification s'effectuait souvent en clair.



Les projets de spécifications de la FIDO Alliance - Credential Exchange Protocol (CXP) et Credential Exchange Format (CXF) - définissent un format standard pour le transfert d'informations d'identification dans un gestionnaire d'informations d'identification, y compris les mots de passe, les clés de passe et autres, vers un autre fournisseur d'une manière qui garantit que le transfert n'est pas effectué en clair et qu'il est sécurisé par défaut.



Une fois normalisées, ces spécifications seront ouvertes et disponibles pour que les fournisseurs d'informations d'identification les mettent en œuvre afin que leurs utilisateurs puissent bénéficier d'une expérience sûre et facile lorsqu'ils choisissent de changer de fournisseur.



Les projets de spécifications sont ouverts à l'examen et aux commentaires de la communauté ; ils ne sont pas encore destinés à être mis en œuvre car les spécifications peuvent être modifiées. Les personnes intéressées peuvent lire les projets de spécifications ici et faire part de leurs commentaires sur le site GitHub de l'Alliance. Les projets devraient être mis à jour et publiés régulièrement pour examen public jusqu'à ce que les spécifications soient approuvées pour la mise en œuvre.



Nous avons rédigé ces normes en collaboration avec nos homologues du secteur au sein de l'alliance FIDO. En travaillant ensemble, nous créons une expérience sans mot de passe véritablement ouverte et transparente. Les versions préliminaires de ces spécifications sont désormais à la disposition du secteur de la sécurité pour qu'il les examine. Il s'agit d'une étape importante pour s'assurer que les propositions sont réellement adaptées à leur objectif.



Les passkeys sont conçus pour offrir aux sites web et aux applications une expérience de connexion sans mot de passe qui est à la fois plus pratique et plus sûre. Les Passkeys reposent sur la norme WebAuthentication (ou ""), qui utilise la cryptographie à clé publique. Lors de l'enregistrement du compte, le système d'exploitation crée une paire de clés cryptographiques unique à associer à un compte pour l'application ou le site web. Ces clés sont générées par l'appareil, de manière sûre et unique, pour chaque compte.L'une de ces clés est publique et est stockée sur le serveur. Cette clé publique n'est pas secrète. L'autre clé est privée, et c'est ce qui est nécessaire pour se connecter. Le serveur n'a jamais connaissance de la clé privée. De cette manière, les Passkeys résistent à l'hameçonnage, sont toujours fortes et conçues de manière à ce qu'il n'y ait pas de secrets partagés. Elles simplifient l'enregistrement des comptes pour les applications et les sites web, avec l'objectif de remplacer les mots de passe.Si les passkeys présentent de tels avantages, pour l'instant, ils ne peuvent être déplacés en toute sécurité et sont confinés à l'écosystème logiciel de chaque entreprise. Pour résoudre ce problème, l'Alliance FIDO a publié une version préliminaire d'un nouvel ensemble de spécifications pour pouvoir importer et exporter des clés d'accès en toute sécurité.Les passkeys présentent des avantages par rapport aux mots de passe. Ils sont plus simples à utiliser car il n'y a rien à mémoriser, à taper ou à coller. De plus, ils sont toujours robustes et intègrent l'authentification multifactorielle. En bref, les passkeys sont meilleurs que les mots de passe. Mais pourquoi les passkeys ne sont-ils pas autant populaires que les mots de passe ? Quel est le problème ?À l'heure actuelle, vous ne pouvez pas déplacer vos passkeys en toute sécurité entre différents gestionnaires de mots de passe. Il s'agit d'une lacune technique qu'il faut résoudre. Après de nombreux mois de réflexion, de prototypage et de discussion entre entreprises de sécurité, l'Alliance FIDO a présenté deux projets de spécifications des passkeys.L'Alliance FIDO est une association industrielle ouverte dont la mission est de réduire la dépendance du monde à l'égard des mots de passe. L'Alliance FIDO a publié une version préliminaire d'un nouvel ensemble de spécifications qui, une fois mises en œuvre par les principaux fournisseurs de clés de sécurité, vous permettront d'importer et d'exporter des passkeys d'une manière à la fois pratique et sécurisée.Ces nouvelles spécifications sont appelées :Ces spécifications fournissent un format universel et un mécanisme sécurisé pour le transfert de toutes sortes d'informations d'identification. Cela comprend les passkeys, les mots de passe traditionnels et tout ce qui est généralement traité à l'aide d'un fichier CSV. Si toutes les entreprises adoptent ces nouvelles spécifications, il sera plus simple pour tout le monde d'utiliser et de stocker les passkeys là où ils le souhaitent.Selon 1Password, qui a rejoint l'Alliance en 2022 et est membre du conseil d'administration, vous êtes propriétaire de vos données. Une véritable propriété signifie que vous pouvez télécharger les informations liées à votre compte et les transférer à un nouveau service quand vous le souhaitez. 1Password déclare "Les passkeys sont extrêmement précieux car, contrairement aux mots de passe, ils sont souvent assortis d'une authentification multifactorielle. Exporter vos passkeys en clair est donc beaucoup, beaucoup trop risqué. Tout le monde s'accorde à dire qu'il faut faire mieux. Ces projets de spécifications garantiront ainsi que vos mots de passe et autres données sensibles bénéficient toujours de la protection qu'ils méritent.Bénéficiant de la confiance de plus de 150 000 entreprises et de millions de consommateurs, 1Password offre des solutions de sécurité de l'identité et de gestion de l'accès conçues pour la façon dont les gens travaillent et vivent aujourd'hui. 1Password a pour mission d'éliminer le conflit entre la sécurité et la productivité en sécurisant chaque connexion pour chaque application sur chaque appareil. En tant que fournisseur du gestionnaire de mots de passe d'entreprise le plus utilisé, 1Password continue d'innover sur sa base solide pour offrir des solutions de sécurité sur lesquelles comptent des entreprises de toutes tailles, y compris Associated Press, Salesforce, GitLab, Under Armour et Intercom.Pensez-vous que cette initiative est crédible ou pertinente ?Quel est votre avis sur le sujet ?