Les mots de passe auront un coût.

 (fy.blackhats.net.au)
1 points par GN⁺ 2023-07-14 | 1 commentaires | Partager sur WhatsApp
  • Fort intérêt pour les « passkeys » et possibilité d’un changement des méthodes d’authentification
  • L’obsession autour des passkeys pourrait rendre inutile l’usage des clés de sécurité
  • Le problème tient à la différence entre clés résidentes et non résidentes
  • Les clés résidentes stockent la clé privée sur la clé de sécurité elle-même, tandis que les clés non résidentes dépendent d’un identifiant de crédential pour le déchiffrement
  • Les clés résidentes consomment l’espace de la clé de sécurité et peuvent la remplir rapidement
  • Les clés non résidentes restent sûres et s’appuient sur les mêmes propriétés de sécurité que TLS
  • L’authentification des utilisateurs est possible même sans clé résidente
  • Le problème vient du battage excessif autour des passkeys et de la confusion sur leur définition
  • Les passkeys ont d’abord été présentées par Apple comme une manière d’utiliser Touch ID / Face ID comme authentificateur Web
  • La définition des passkeys a évolué et désigne désormais des clés résidentes
  • Cette définition s’est largement diffusée et pose des problèmes aux utilisateurs de clés de sécurité
  • Les clés de sécurité ont une capacité de stockage limitée et offrent peu de gestion des identifiants, ce qui rend l’usage des clés résidentes difficile
  • Exiger des clés résidentes pour tous les enregistrements dégrade l’expérience utilisateur
  • Cela va à l’encontre de l’objectif consistant à laisser l’utilisateur choisir l’authentificateur qu’il souhaite
  • Dans l’univers des passkeys, seuls quelques types d’authentificateurs fonctionnent correctement
  • Parmi les propositions pour résoudre le problème : exclure les clés de sécurité des exigences liées aux passkeys et imposer des exigences de stockage pour les appareils authentifiés
  • Globalement, le battage autour des clés résidentes en tant que passkeys nuit à la capacité des utilisateurs à choisir l’authentificateur qu’ils préfèrent.

À lire aussi

1 commentaires

 
GN⁺ 2023-07-14
Commentaire Hacker News
  • Les clés de sécurité physiques ne sont peut-être pas le choix idéal comme passkeys, car elles ne disposent pas de la fonctionnalité de double authentification d’un téléphone ou d’un ordinateur de bureau.
  • Les passkeys sont définies comme des paires de clés synchronisées via le trousseau iCloud, et cette définition a été étendue à d’autres méthodes de synchronisation cloud.
  • Les clés de sécurité n’ont pas d’importance pour la majorité des utilisateurs, et les passkeys constituent une meilleure option pour remplacer les mots de passe.
  • La conception du protocole pour les passkeys et les clés résidentes est critiquée en raison de problèmes potentiels de sécurité et de compatibilité.
  • La situation actuelle des clés résidentes et des éléments sécurisés est confuse et doit être améliorée.
  • Sans connaissances préalables en sécurité ou en cryptographie, cet article peut être difficile à comprendre.
  • La mise à niveau vers les nouvelles normes d’authentification peut nécessiter d’investir dans de nouvelles clés matérielles.
  • Les clés matérielles ont une capacité de stockage limitée, et l’ajout de processeurs sécurisés pour le stockage de masse peut augmenter les coûts.
  • Cet article fournit une explication claire des passkeys et de leurs implications.
  • Certains utilisateurs ne veulent pas dépendre de Google, Apple ou Microsoft pour la synchronisation des passkeys.
  • Une solution centralisée pour les jetons matériels et la synchronisation des clés résidentes est souhaitée.
  • Si un appareil est perdu ou compromis, l’authentification reposant sur la possession de quelque chose peut poser problème.
  • Certains utilisateurs estiment que les passkeys donnent trop de contrôle aux gouvernements et aux entreprises, au détriment de la vie privée et de la sécurité.