Posté par cg .
Évalué à 10 (+14/-1).
Dernière modification le 10 avril 2024 à 15:22.
C'est un bel infomercial pour la solution de Proton et leurs autres produits. Des gestionnaires de mots de passe comme Bitwarden, KeepassXC et autres concurrents de Proton Pass gèrent les passkeys, ce sur quoi l'article fait gentiment l'impasse1.
Et si on a une clé de sécurité physique comme une Nitrokey, une Titankey ou une Yubikey, ça gère les passkeys et le FIDO2 aussi.
Bref, avec tout le respect que j'ai pour Proton, cet article ne me semble pas totalement honnête, c'est dommage.
mais l'article lié sur Proton Pass parle de Dashlane. ↩
les passkeys ne nécessitent pas d'authentification biométrique
ce n'est pas l'authentification biométrique qui permet le "chiffrement" et "l'infalsibialité" de l'authentification, c'est l'usage de clés privées détenues par un périphérique utilisateur dédiées à chaque service (l'accès à ces clés pouvant être protégé par le périphérique par une vérification biométrique)
Posté par zurvan .
Évalué à 1 (+1/-2).
Dernière modification le 11 avril 2024 à 09:20.
puisque tu sembles pointilleux sur les mots, l'article ne dit pas que les passkeys "nécessitent" d'authentification biométrique, mais que les passkeys "utilisent" l'authentification biométrique. Ce sont les GAFAM qui mettent cela en avant pour "faciliter la vie de leurs utilisateurs" et rendre l'auth "plus sécurisée".
C'est affirmé ainsi sur le site https://www.passkeys.com/ "Passkeys are a safer and easier replacement for passwords. With passkeys, users can sign in to apps and websites with a biometric sensor (such as a fingerprint or facial recognition), PIN, or pattern, freeing them from having to remember and manage passwords. "
donc effectivement ça n'utilise pas que les empreintes digitales, ça pourra déverrouiller avec un code pin ou un schéma, mais le fond du problème reste le même, à savoir que les gafam vont verrouiller leurs utilisateurs en obligeant à utiliser leurs services pour se connecter sur des sites et services tiers.
« Le pouvoir des Tripodes dépendait de la résignation des hommes à l'esclavage. » -- John Christopher
les différents acteurs majeurs de la tech se sont convertis aux passkeys, ces identifiants biométriques remplaçant les traditionnels mots de passe.
[…]
Les passkeys utilisent, quant à eux, l'identification biométrique
C'est formulé très clairement, et c'est totalement faux ! Sur mon PC Linux, j'ai Bitwarden qui stocke des passkeys (par exemple pour Github), et il n'y a aucun capteur biométrique. Sur mon téléphone, je peux déverrouiller Bitwarden avec une empreinte digitale, mais c'est totalement optionnel, je peux aussi le faire avec ma Yubikey ou un TOTP, et accéder à mes passkeys, entre autres identifiants.
Que les GAFAM soient en position dominante et proposent des services captifs c'est chiant, mais pas la peine de mentir ou de dire des semi-vérités.
C'est une belle arnaque marketing les passkeys : ce sont juste des mots de passe dans un gestionnaire de mots de passe, ce qui est très bien, mais pas besoin d'en faire des cybercaisses.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
C'est plus équivalent à une paire clé privée/clé publique pour SSH. Ce n'est pas un mot de passe connu de toi et du service (Pre-Shared Key). Dans le cas des passkeys, la clé privée ne sort jamais du gestionnaire de mots de passe ou de la clé de sécurité.
Par contre, et c'est là que ça devient tangent, ça laisse croire qu'il n'y a magiquement plus besoin de s'occuper de ses mots de passe ou de sa sécurité. Hors, si les passkeys (ou des mots de passes classiques) sont stockées dans un téléphone ou un ordi qui ne sont pas sauvegardés (c'est à dire probablement la majorité), en cas de perte de l'appareil, c'est game over. Perso, je n'ai pas de solution à ça :(.
Je pense que tout ça va juste obliger les gens à utiliser un gestionnaire de mot de passe comme bitwarden & co, et celui-ci se chargera de synchroniser/sauvegarder ça.
On va donc éviter la réutilisation de mot de passe, ainsi que les mots de passe faibles. Pour le reste, j'imagine que c'est assez équivalent. Peut-être que ça améliore aussi les problèmes liés aux piratages des bases de données de mot de passe ?
# Billet de blog de Proton
Posté par Colargol (site web personnel) . Évalué à 5 (+3/-0).
https://proton.me/blog/big-tech-passkey
Un lien sur le même sujet : https://linuxfr.org/users/misc/liens/passkeys-as-a-tool-for-user-retention
# Autre billet de blog intéressant
Posté par Psychofox (Mastodon) . Évalué à 10 (+7/-0).
Celui de Alfie Fresta, ingénieur Meta qui travaille sur xdg-authentication-portal afin que l'on puisse utiliser FIDO2 et passkeys indépendemment de Google, Microsoft ou Apple:
https://alfioemanuele.io/dev/2024/01/31/a-vision-for-passkeys-on-the-linux-desktop.html
# infomercial ?
Posté par cg . Évalué à 10 (+14/-1). Dernière modification le 10 avril 2024 à 15:22.
C'est un bel infomercial pour la solution de Proton et leurs autres produits. Des gestionnaires de mots de passe comme Bitwarden, KeepassXC et autres concurrents de Proton Pass gèrent les passkeys, ce sur quoi l'article fait gentiment l'impasse1.
Et si on a une clé de sécurité physique comme une Nitrokey, une Titankey ou une Yubikey, ça gère les passkeys et le FIDO2 aussi.
Bref, avec tout le respect que j'ai pour Proton, cet article ne me semble pas totalement honnête, c'est dommage.
mais l'article lié sur Proton Pass parle de Dashlane. ↩
# Mauvais article
Posté par Samuel (site web personnel) . Évalué à 9 (+8/-0).
L'article est faux sur plusieurs points :
Je me suis arrêté au premier paragraphe.
[^] # Re: Mauvais article
Posté par zurvan . Évalué à 1 (+1/-2). Dernière modification le 11 avril 2024 à 09:20.
puisque tu sembles pointilleux sur les mots, l'article ne dit pas que les passkeys "nécessitent" d'authentification biométrique, mais que les passkeys "utilisent" l'authentification biométrique. Ce sont les GAFAM qui mettent cela en avant pour "faciliter la vie de leurs utilisateurs" et rendre l'auth "plus sécurisée".
C'est affirmé ainsi sur le site https://www.passkeys.com/ "Passkeys are a safer and easier replacement for passwords. With passkeys, users can sign in to apps and websites with a biometric sensor (such as a fingerprint or facial recognition), PIN, or pattern, freeing them from having to remember and manage passwords. "
donc effectivement ça n'utilise pas que les empreintes digitales, ça pourra déverrouiller avec un code pin ou un schéma, mais le fond du problème reste le même, à savoir que les gafam vont verrouiller leurs utilisateurs en obligeant à utiliser leurs services pour se connecter sur des sites et services tiers.
« Le pouvoir des Tripodes dépendait de la résignation des hommes à l'esclavage. » -- John Christopher
[^] # Re: Mauvais article
Posté par cg . Évalué à 10 (+9/-0).
L'article de Clubic dit :
C'est formulé très clairement, et c'est totalement faux ! Sur mon PC Linux, j'ai Bitwarden qui stocke des passkeys (par exemple pour Github), et il n'y a aucun capteur biométrique. Sur mon téléphone, je peux déverrouiller Bitwarden avec une empreinte digitale, mais c'est totalement optionnel, je peux aussi le faire avec ma Yubikey ou un TOTP, et accéder à mes passkeys, entre autres identifiants.
Que les GAFAM soient en position dominante et proposent des services captifs c'est chiant, mais pas la peine de mentir ou de dire des semi-vérités.
[^] # Re: Mauvais article
Posté par devnewton 🍺 (site web personnel) . Évalué à 10 (+9/-1).
C'est une belle arnaque marketing les passkeys : ce sont juste des mots de passe dans un gestionnaire de mots de passe, ce qui est très bien, mais pas besoin d'en faire des cybercaisses.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Mauvais article
Posté par cg . Évalué à 6 (+4/-0).
C'est plus équivalent à une paire clé privée/clé publique pour SSH. Ce n'est pas un mot de passe connu de toi et du service (Pre-Shared Key). Dans le cas des passkeys, la clé privée ne sort jamais du gestionnaire de mots de passe ou de la clé de sécurité.
Par contre, et c'est là que ça devient tangent, ça laisse croire qu'il n'y a magiquement plus besoin de s'occuper de ses mots de passe ou de sa sécurité. Hors, si les passkeys (ou des mots de passes classiques) sont stockées dans un téléphone ou un ordi qui ne sont pas sauvegardés (c'est à dire probablement la majorité), en cas de perte de l'appareil, c'est game over. Perso, je n'ai pas de solution à ça :(.
[^] # Re: Mauvais article
Posté par Christophe . Évalué à 3 (+1/-0).
Je pense que tout ça va juste obliger les gens à utiliser un gestionnaire de mot de passe comme bitwarden & co, et celui-ci se chargera de synchroniser/sauvegarder ça.
On va donc éviter la réutilisation de mot de passe, ainsi que les mots de passe faibles. Pour le reste, j'imagine que c'est assez équivalent. Peut-être que ça améliore aussi les problèmes liés aux piratages des bases de données de mot de passe ?
# Autre article
Posté par cg . Évalué à 2 (+0/-0).
Le billet de blog Passkeys: A Shattered Dream par l'auteur principal de la bibliothèque webauthn-rs est très intéressant. (par contre c'est en Anglais)
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.