Le World Wide Web Consortium et Fido Alliance annoncent WebAuthn: qu'est-ce que cela signifie?

WebAuthn - an Official Web Standard

Habituellement, vous ne voyez pas autant d'options lorsque vous créez un nouveau compte en ligne. Vous devez évidemment créer un mot de passe, et pour la plupart des gens, cela signifie emprunter l'une des deux voies - un mot de passe simple, facile à retenir et / ou réutilisé qui met leurs comptes en danger; ou un mot de passe long et difficile à deviner, qui est une gêne à taper et une douleur à retenir. Il va sans dire que les deux options ne sont pas exactement idéales. Alors, y a-t-il quelque chose qui pourrait éventuellement changer la façon dont les choses sont en ce moment? Eh bien, il y en a, et cela pourrait en fait aller quelque part.

WebAuthn - l'alternative sans mot de passe

WebAuthn, abréviation de Web Authentication, est une norme non propriétaire qui facilite la communication entre les sites Web et un dispositif de sécurité. Deux consortiums en ligne, le World Wide Web Consortium (WC3) et FIDO Alliance, y travaillent depuis quelques années, mais le concept peut remonter à l'API UAF (Universal Authentication Factor) de FIDO Alliance à partir de 2014.

L'objectif de WebAuthn et d'UAF est de fournir une nouvelle façon sécurisée de se connecter à des comptes en ligne sans avoir à se souvenir ni à saisir de mot de passe. Pour diverses raisons compliquées, UAF n'a pas réussi à faire une impression sur notre vie quotidienne, mais il semblerait que WebAuthn pourrait être différent.

Lundi, le WC3 et le FIDO ont annoncé que WebAuthn est désormais une norme Web officielle. En termes simples, cela signifie que les experts sont suffisamment confiants pour commencer à conseiller aux développeurs Web et d'applications de les implémenter dans leurs produits. Pour comprendre comment tout cela va nous affecter tous, nous devons examiner le fonctionnement de WebAuthn.

Comment fonctionne WebAuthn?

Du point de vue d'un utilisateur, les choses sont assez simples. L'idée est qu'au lieu d'entrer un nom d'utilisateur et un mot de passe, vous utilisez soit les mécanismes d'authentification biométrique sur votre ordinateur ou votre smartphone, soit vous utilisez un jeton matériel qui peut être transporté sur un porte-clés et fonctionne avec USB, NFC, Bluetooth ou un protocole de communication similaire. Il n'y a aucun identifiant de connexion, ce qui ressemble à un concept attrayant. Mais qu'en est-il de la sécurité?

Bien que le processus soit simple à première vue, dans les coulisses, une connexion WebAuthn est une opération assez complexe. Tout est basé sur la cryptographie à clé publique (également connue sous le nom asymétrique), ce qui signifie que deux clés sont impliquées - une publique et une privée. Chacun de vos comptes obtient une paire de clés cryptographiques que votre jeton d'ordinateur ou de matériel génère lors de l'inscription. La clé publique est envoyée au fournisseur de services et la clé privée est stockée sur votre appareil. Lorsque vous essayez de vous connecter, le fournisseur de services envoie un défi que votre appareil signe et chiffre avec votre clé privée. La seule façon de décrypter le défi et de voir la signature est avec votre clé publique, c'est ainsi que le fournisseur de services sait que vous êtes qui vous dites être.

Il y a plus que quelques avantages de sécurité à ce régime. Tout d'abord, la connexion nécessite deux clés stockées dans deux emplacements différents. Même si les escrocs parviennent à voler ou à intercepter votre clé publique, ils n'auront aucun moyen de se connecter sans la clé privée qui, comme vous vous en souvenez, ne quitte jamais votre appareil.

De plus, contrairement aux mots de passe, les clés cryptographiques ne peuvent pas être devinées farcies , réutilisées ou hameçonnées . En d'autres termes, la plupart des attaques qui fonctionnent traditionnellement sur les mots de passe ne sont pas efficaces contre un schéma WebAuthn.

La nouvelle norme Web est remarquable car elle est l'un des rares exemples d'une innovation technologique qui améliore non seulement la convivialité mais se traduit également par une meilleure sécurité.

Donc, le mot de passe est mort, non?

Bien que ce soit certainement quelque chose à espérer, nous estimons que la disparition du mot de passe est encore loin. Personne ne doute que la technologie derrière WebAuthn est solide, mais il reste encore des obstacles à surmonter.

D'une part, WebAuthn est une norme Web, et aussi stupide que cela puisse paraître, le mot «standard» dans son sens classique est un peu tabou dans le monde en ligne. Prenons l'exemple des mots de passe. Nous les avons utilisés comme mécanisme de connexion principal pendant un certain temps, mais même maintenant, des décennies après leur première apparition, nous ne pouvons toujours pas nous mettre d'accord sur ce qui est et ce qui n'est pas un mot de passe fort . De la même manière, malgré les avantages évidents, les fournisseurs ne semblent pas être sur la même longueur d'onde en ce qui concerne la rapidité de mise en œuvre de WebAuthn.

Google Chrome a été le premier navigateur à prendre en charge WebAuthn, mais ce n'est que quelques mois plus tard que Firefox, un autre grand nom de l'industrie, l'a implémenté. Microsoft a pris son temps pour incorporer WebAuthn dans Edge, et Apple expérimente toujours le support de Safari. La situation n'est pas très différente dans le paysage mobile. La semaine dernière, FIDO a annoncé que très bientôt, tous les téléphones et tablettes fonctionnant sous Android 7.0 ou supérieur seront certifiés FIDO. WebAuthn est au cœur du protocole FIDO2, ce qui signifie que ces appareils prendront effectivement en charge la connexion sans mot de passe. Malheureusement, nous n'avons pas encore vu d'informations sur le moment où la norme sera incorporée dans l'iOS d'Apple. Et même si tous les fournisseurs adoptent WebAuthn pour leurs nouveaux appareils, vous ne pouvez pas ignorer les montagnes de systèmes hérités qui seront laissés pour compte.

Bien sûr, après que les fournisseurs de matériel l'auront adopté, les développeurs de sites Web et d'applications devront tous l'implémenter comme mécanisme de connexion. En d'autres termes, il est peu probable que WebAuthn remplace complètement le mot de passe de sitôt. Et jusqu'à ce que ce soit le cas, vous devez vous assurer que vos comptes sont aussi bien protégés que possible.

L'utilisation d'une application de gestion de mot de passe comme Cyclonis Password Manager est la meilleure façon de le faire. Avec lui, vous pouvez créer des mots de passe longs et complexes sans vous soucier de vous en souvenir. De nos jours, compter sur votre cerveau pour ce faire n'est tout simplement pas une bonne idée, et la meilleure chose à laisser Cyclonis Password Manager faire tout le travail pour vous est que les fonctions de remplissage automatique et de connexion automatique de l'extension du navigateur apporteront une commodité supplémentaire .

Par Duran
March 28, 2019
News
Français
March 28, 2019
News

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.