- Une technologie pas encore prête pour le grand public : la technologie des passkeys est élégante, mais son niveau de sécurité en usage reste insuffisant
- Elle attire l’attention comme alternative aux mots de passe et est considérée comme une défense solide contre le phishing et le piratage des bases de données
- Les spécifications FIDO2 et WebAuthn sont élégantes, mais l’expérience utilisateur reste complexe
- Des centaines de sites ainsi que les principaux systèmes d’exploitation et navigateurs prennent en charge les passkeys, mais les méthodes d’implémentation propres à chaque plateforme et des workflows incohérents dégradent l’utilisabilité
- Par exemple, même sur un même site, l’expérience de connexion diffère entre iOS et Android, et certains navigateurs ne les prennent tout simplement pas en charge
- Chaque plateforme impose sa propre option de synchronisation des passkeys, ce qui complique le choix d’une autre solution pour l’utilisateur
- L’implémentation des passkeys devrait permettre un usage simple, mais ce n’est pas le cas aujourd’hui
- Synchroniser les passkeys via un gestionnaire de sécurité comme 1Password peut résoudre le problème, mais cela affaiblit l’objectif fondamental des passkeys, à savoir l’authentification sans mot de passe.
- De plus, la plupart des utilisateurs n’utilisent toujours pas de gestionnaire de mots de passe
- Parmi les sites qui prennent en charge les passkeys, aucun n’a complètement supprimé les mots de passe
- L’authentification MFA basée sur SMS reste vulnérable et nuit à la sécurité des passkeys
- En environnement d’entreprise, les passkeys peuvent devenir une alternative aux mots de passe et aux applications d’authentification
Propositions
- Utiliser un gestionnaire de sécurité : synchroniser les passkeys avec un outil comme 1Password et activer la MFA pour renforcer la sécurité
- Privilégier la MFA : si possible, utiliser une clé de sécurité ou une application d’authentification pour activer l’authentification multifacteur
- Évaluer l’adoption des passkeys : les passkeys sont prometteuses à terme, mais pour l’instant les mots de passe et les gestionnaires de sécurité restent indispensables
Conclusion
- Les passkeys ont un fort potentiel pour résoudre les problèmes de sécurité des mots de passe, mais à ce stade, en raison de limites techniques et de problèmes d’utilisabilité, elles ne constituent pas une alternative parfaite
- Elles ont de fortes chances de s’améliorer à l’avenir, mais pour le moment, la solution la plus rationnelle reste de les utiliser en parallèle des méthodes d’authentification existantes.
2 commentaires
J’utilise aussi des passkeys stockées dans Bitwarden.
Le fait qu’on puisse enregistrer les noms un par un laisse penser que ce n’est pas une technologie conçue pour créer une seule passkey et l’utiliser partout via la synchronisation. On dirait plutôt que l’idée est d’en créer une par appareil, mais honnêtement, c’est pénible.
Avis sur Hacker News
Dans un univers parallèle, une loi obligerait tous les fabricants d’appareils informatiques à fournir un emplacement permettant aux utilisateurs de brancher leurs identifiants de sécurité. L’approche actuelle des passkeys est conçue à partir d’un modèle imaginaire où l’utilisateur est entièrement immergé dans un seul écosystème.
Les passkeys étaient censées permettre une authentification via des clés matérielles, comme Yubico l’envisageait, mais Apple, Google et Microsoft préfèrent une authentification opérée magiquement par l’OS.
Les éditeurs d’OS ne veulent pas que les utilisateurs recourent à des logiciels ou matériels tiers, et les poussent vers des passkeys basées sur le cloud.
L’état futur idéal serait de pouvoir choisir, dans les paramètres du navigateur, le fournisseur des nouveaux identifiants enregistrés.
Le TOTP rencontre un problème similaire, et de nombreux coffres de passkeys n’autorisent pas l’export. Bitwarden fait figure d’exception en permettant d’exporter les passkeys.
La transition des mots de passe vers les passkeys représente un changement majeur dans le modèle moderne de sécurité sur Internet, et il est naturel que les gens soient prudents et divisés sur le sujet.
En tant que membre de la minorité qui apprécie les passkeys, j’en crée dans iCloud Keychain et 1Password. J’estime qu’il faut de meilleures fonctions d’export/import.
Les passkeys sont une boîte noire invisible, que l’utilisateur ordinaire ne peut pas sauvegarder. Leur implémentation reste inachevée et leur surface d’attaque est plus grande.
Fido manque de prise en charge côté sites web/frameworks/bibliothèques, et je considère les passkeys comme un produit raté. À cause des problèmes d’utilisabilité, je ne peux pas faire confiance aux passkeys.
En tant qu’utilisateur technophile, j’ai cessé d’utiliser Google à cause de la courte durée des sessions d’authentification par passkey. Le besoin de se réauthentifier fréquemment est pénible.