Quelque part… on peut dire que c'est une bonne idée. C'est d'ailleurs le concept même de l'échange défi-réponse de la carte à puce avec un code PIN, autant dire que c'est pas tout jeune. J'ai pas regardé la crypto de ces « passkeys » (est-ce que j'y comprendrais quelque chose ?), mais c'est sûrement plus moderne.
Cependant… Comme le laisse penser le titre ironique de ce lien, c'est sûrement une Fausse Bonne Idée. Déjà, comme le dit l'article, on peut rien sortir soi-même. C'est pas top, au mieux, c'est laborieux. Ensuite, on ne peut pas le partager. Alors là, pardon, mais dans mon foyer, on va pas se créer un compte par personne dans un magasin pour commander. Ou sur LeBonCoin. Non, on a une organisation BitWarden, avec un mot de passe généré partagé. Ça marche.
Et le dernier clou, la sauvegarde dans le cloud. Ahah. Ça, c'est l'argument massue pour me faire m'en aller : tous mes mots de passe, au même endroit, chez un prestataire que je paie pas et qui ne me dois rien. Moui, bon, c'est pas que c'est louche, mais ça ressemble à un test de phishing ? ;)
Et le dernier clou, la sauvegarde dans le cloud. Ahah. Ça, c'est l'argument massue pour me faire m'en aller : tous mes mots de passe, au même endroit, chez un prestataire que je paie pas et qui ne me dois rien.
En même temps, tu avais tout mis dans le titre, non? Et si le F.B.I. (ou autre, selon la nation qui héberge le PC de stockage) a besoin de tes codes pour différentes raisons? Evidemment, il faut insérer des mécanismes de backdoor, mais avec les bonnes lois ça peut se faire.
Par commodité, à la fin de cette procédure, beaucoup de services proposent de créer une nouvelle passkey destinée à l’ordinateur qui n’en avait pas, pour éviter de recommencer cette procédure laborieuse à chaque nouvelle connexion. Contactés par Le Monde, Google et Microsoft confirment par ailleurs travailler à ouvrir la gestion des passkeys à des acteurs tiers, tels les éditeurs de gestionnaires de mots de passe, comme LastPass ou Dashlane par exemple. Ceux-ci pourraient stocker les passkeys dans leur propre cloud et les rendre accessibles sous différents écosystèmes.
Donc il suffira que tu confirmes la première connexion pour que la personne puisse ensuite ajouter sa passkey au compte. Et ça fait un compte partagé sans avoir à partager de mot de passe. Ça me semble pas mal comme fonctionnement.
Ensuite tu dis :
Et le dernier clou, la sauvegarde dans le cloud. Ahah. Ça, c'est l'argument massue pour me faire m'en aller : tous mes mots de passe, au même endroit, […]
Mais tous tes mots de passe sont aussi stockés au même endroit, dans le cloud de Bitwarden (à moins que tu l'auto-héberge à la maison) et dans le cache de ta machine. Pour l'un comme pour l'autre je ne pense pas qu'un attaquant d'envergure FBI ait trop de difficultés à y accéder.
[…] chez un prestataire que je paie pas et qui ne me dois rien. […]
Tu le paies d'une manière ou d'une autre, ces prestataires ont des offres payantes, ou alors exploitent tes données personnelles. Et donc soit te doivent le service que tu paies, soit ont intérêt à ce que tu restes pour continuer à se faire du pognon avec tes données.
Mais tous tes mots de passe sont aussi stockés au même endroit, dans le cloud de Bitwarden
J'ai un fichier keepass que je balade entre mes instances via un nextcloud. L'environnement autour de Keepass est vraiment mature aujourd'hui et très facile d'utilisation.
L'avantage c'est que tu ne fais pas confiance sur la façon dont c'est protégé côté serveur, tu le sais. C'est un fichier chiffré par mot de passe ou clé.
Le dernier problème ce sont les sites web.
Le site web où tu ne peux pas « coller » ton mot de passe lors de la création de compte (mes mots de passe étant des chaînes aléatoires entre 20 et 30 caractères c'est pas très facile).
Le site web avec un bout de javascript qui ne comprend pas que tu colles, tu dois donc effacer et réécrire la dernière lettre. C'est pareil en fait je ne connais pas le dernier caractère de mes mots de passe affreux.
Avec du javascript qui provient d'un tiers… et donc ton mot de passe se balade potentiellement sur le réseau. C'est pour ça que c'est important d'avoir des logins et des mots de passes différents pour chaque site, chaque service.
KeepassX[C] sont très bien. Il y a un plugin pour Firefox aussi (mais je n'ai jamais essayé le plugin).
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
Ah ba oui, j'ai commencé à avoir un keepass car je voulais des mots de passe vraiment différents pour chaque site, et aléatoire et très longs.
Donc oui, je ne fais confiance au site que pour le site en lui-même.
Donc il suffira que tu confirmes la première connexion pour que la personne puisse ensuite ajouter sa passkey au compte. Et ça fait un compte partagé sans avoir à partager de mot de passe. Ça me semble pas mal comme fonctionnement.
Merci de me souligner ce fonctionnement, que j'avais… zappé.
Mais tous tes mots de passe sont aussi stockés au même endroit, dans le cloud de Bitwarden (à moins que tu l'auto-héberge à la maison) et dans le cache de ta machine.
C'est ça, je l'auto-héberge. Et aussi, même dans l'autre cas, je choisis mon prestataire. Là, on va être un peu bloqué. Y a Apple, Microsoft et Google, mais grosso-modo, ça dépend du matériel qu'on a acheté, point-barre.
Pour l'un comme pour l'autre je ne pense pas qu'un attaquant d'envergure FBI ait trop de difficultés à y accéder.
Ah ben les forces de l'ordre peuvent accéder à mes mots de passe, mais ça doit être validé par un juge. Et mettre des procédures légales n'empêche pas de mettre des gardes-fous techniques pour éviter la pente savonneuse d'un pouvoir politique qui change les procédures légales.
Et donc soit te doivent le service que tu paies, soit ont intérêt à ce que tu restes pour continuer à se faire du pognon avec tes données.
Dans le deuxième cas, il y a beaucoup d'exemple de gens qui se font fermer l'intégralité de leur compte pour une « entorse » aux conditions générales dans un autre service du fournisseur (tentaculaire…).
Pourquoi avoir 1 passkeys par site voir compte ? Au pire, on crée une clé public que pour ce site.
Avoir différentes identités est une chose très importante je trouve. J'aime bien garder ce principe. Si une clé est corrompue, il ne faut pas tout révoquer.
Pourquoi vouloir enfermer cela dans la mémoire interne et sécurisé du tél ?
Parce que c'est quand même vachement mieux à l'abri d'un casse chez LastPass quand même. C'est un peu le but des TPM, et pour le coup, elles le font bien…
Avoir différentes identités est une chose très importante je trouve. J'aime bien garder ce principe. Si une clé est corrompue, il ne faut pas tout révoquer.
Mais on peut avoir plusieurs clés ssh ou gpg, donc plusieurs identités, et associer leur usage à des profils. Par contre, oui, cela veut dire révoquer plusieurs accès liés à la même clé en cas de compromission, ce n'est pas comme un mot de passe différent par application.
Ce que je comprends, c'est que Google, Apple et Microsoft se sont entendus pour s'approprier nos clés d'accès aux services en ligne.
Moi ce que je voudrais, c'est une solution qui me protège de tous les acteurs à qui je n'ai aucune raison de faire confiance, y compris les pirates entreprises ayant pignon sur rue.
Comme toujours avec ces 3 là, l'objectif est avant tout d'améliorer ton quotidien et le rendre plus sûr.
Le fait qu'ils auront la liste complète de tous les identifiants que tu as créés sur tous les services que tu utilises et la fréquence à laquelle tu les utilises n'est qu'un effet secondaire sans gravité.
# F.B.I.
Posté par Glandos . Évalué à 10.
Quelque part… on peut dire que c'est une bonne idée. C'est d'ailleurs le concept même de l'échange défi-réponse de la carte à puce avec un code PIN, autant dire que c'est pas tout jeune. J'ai pas regardé la crypto de ces « passkeys » (est-ce que j'y comprendrais quelque chose ?), mais c'est sûrement plus moderne.
Cependant… Comme le laisse penser le titre ironique de ce lien, c'est sûrement une Fausse Bonne Idée. Déjà, comme le dit l'article, on peut rien sortir soi-même. C'est pas top, au mieux, c'est laborieux. Ensuite, on ne peut pas le partager. Alors là, pardon, mais dans mon foyer, on va pas se créer un compte par personne dans un magasin pour commander. Ou sur LeBonCoin. Non, on a une organisation BitWarden, avec un mot de passe généré partagé. Ça marche.
Et le dernier clou, la sauvegarde dans le cloud. Ahah. Ça, c'est l'argument massue pour me faire m'en aller : tous mes mots de passe, au même endroit, chez un prestataire que je paie pas et qui ne me dois rien. Moui, bon, c'est pas que c'est louche, mais ça ressemble à un test de phishing ? ;)
[^] # Re: F.B.I.
Posté par freem . Évalué à 4.
En même temps, tu avais tout mis dans le titre, non? Et si le F.B.I. (ou autre, selon la nation qui héberge le PC de stockage) a besoin de tes codes pour différentes raisons? Evidemment, il faut insérer des mécanismes de backdoor, mais avec les bonnes lois ça peut se faire.
[^] # Re: F.B.I.
Posté par NiKaro (site web personnel) . Évalué à 1.
Tu dis :
L'article dit :
Donc il suffira que tu confirmes la première connexion pour que la personne puisse ensuite ajouter sa passkey au compte. Et ça fait un compte partagé sans avoir à partager de mot de passe. Ça me semble pas mal comme fonctionnement.
Ensuite tu dis :
Mais tous tes mots de passe sont aussi stockés au même endroit, dans le cloud de Bitwarden (à moins que tu l'auto-héberge à la maison) et dans le cache de ta machine. Pour l'un comme pour l'autre je ne pense pas qu'un attaquant d'envergure FBI ait trop de difficultés à y accéder.
Tu le paies d'une manière ou d'une autre, ces prestataires ont des offres payantes, ou alors exploitent tes données personnelles. Et donc soit te doivent le service que tu paies, soit ont intérêt à ce que tu restes pour continuer à se faire du pognon avec tes données.
[^] # Re: F.B.I.
Posté par alkino . Évalué à 5.
J'ai un fichier keepass que je balade entre mes instances via un nextcloud. L'environnement autour de Keepass est vraiment mature aujourd'hui et très facile d'utilisation.
L'avantage c'est que tu ne fais pas confiance sur la façon dont c'est protégé côté serveur, tu le sais. C'est un fichier chiffré par mot de passe ou clé.
Le dernier problème ce sont les sites web.
Le site web où tu ne peux pas « coller » ton mot de passe lors de la création de compte (mes mots de passe étant des chaînes aléatoires entre 20 et 30 caractères c'est pas très facile).
Le site web avec un bout de javascript qui ne comprend pas que tu colles, tu dois donc effacer et réécrire la dernière lettre. C'est pareil en fait je ne connais pas le dernier caractère de mes mots de passe affreux.
À part ça tout va bien.
[^] # Re: F.B.I.
Posté par GG (site web personnel) . Évalué à 3.
Avec du javascript qui provient d'un tiers… et donc ton mot de passe se balade potentiellement sur le réseau. C'est pour ça que c'est important d'avoir des logins et des mots de passes différents pour chaque site, chaque service.
KeepassX[C] sont très bien. Il y a un plugin pour Firefox aussi (mais je n'ai jamais essayé le plugin).
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: F.B.I.
Posté par alkino . Évalué à 3.
Ah ba oui, j'ai commencé à avoir un keepass car je voulais des mots de passe vraiment différents pour chaque site, et aléatoire et très longs.
Donc oui, je ne fais confiance au site que pour le site en lui-même.
[^] # Re: F.B.I.
Posté par Glandos . Évalué à 9.
Merci de me souligner ce fonctionnement, que j'avais… zappé.
C'est ça, je l'auto-héberge. Et aussi, même dans l'autre cas, je choisis mon prestataire. Là, on va être un peu bloqué. Y a Apple, Microsoft et Google, mais grosso-modo, ça dépend du matériel qu'on a acheté, point-barre.
Ah ben les forces de l'ordre peuvent accéder à mes mots de passe, mais ça doit être validé par un juge. Et mettre des procédures légales n'empêche pas de mettre des gardes-fous techniques pour éviter la pente savonneuse d'un pouvoir politique qui change les procédures légales.
Dans le deuxième cas, il y a beaucoup d'exemple de gens qui se font fermer l'intégralité de leur compte pour une « entorse » aux conditions générales dans un autre service du fournisseur (tentaculaire…).
# Trop de contrainte et trop de passkeys
Posté par KiKouN . Évalué à 5. Dernière modification le 13 septembre 2022 à 11:25.
Je trouve qu'il y a trop de contraintes alors qu'il suffit de donner sa clé publique SSH et GPG au site.
Pourquoi avoir 1 passkeys par site voir compte ? Au pire, on crée une clé public que pour ce site.
Pourquoi vouloir enfermer cela dans la mémoire interne et sécurisé du tél ?
[^] # Re: Trop de contrainte et trop de passkeys
Posté par Glandos . Évalué à 6.
Avoir différentes identités est une chose très importante je trouve. J'aime bien garder ce principe. Si une clé est corrompue, il ne faut pas tout révoquer.
[^] # Re: Trop de contrainte et trop de passkeys
Posté par Zatalyz (site web personnel) . Évalué à 3.
Mais on peut avoir plusieurs clés ssh ou gpg, donc plusieurs identités, et associer leur usage à des profils. Par contre, oui, cela veut dire révoquer plusieurs accès liés à la même clé en cas de compromission, ce n'est pas comme un mot de passe différent par application.
# Entente illicite
Posté par Jean-Baptiste Faure . Évalué à 9.
Ce que je comprends, c'est que Google, Apple et Microsoft se sont entendus pour s'approprier nos clés d'accès aux services en ligne.
Moi ce que je voudrais, c'est une solution qui me protège de tous les acteurs à qui je n'ai aucune raison de faire confiance, y compris les
piratesentreprises ayant pignon sur rue.[^] # Re: Entente illicite
Posté par Maclag . Évalué à 10.
Comme toujours avec ces 3 là, l'objectif est avant tout d'améliorer ton quotidien et le rendre plus sûr.
Le fait qu'ils auront la liste complète de tous les identifiants que tu as créés sur tous les services que tu utilises et la fréquence à laquelle tu les utilises n'est qu'un effet secondaire sans gravité.
[^] # Re: Entente illicite
Posté par Faya . Évalué à 7. Dernière modification le 13 septembre 2022 à 16:56.
Sachant qu'ils ne sont que 3 parce que dans GAFAM :
- Le F possède déjà les données, à tel point qu'ils ne savent pas qui y accède ou comment ou pourquoi
- Le A, qui fait déjà tourner 1/3 du web, a décidé de se concentrer sur nos données de santé
Cet acronyme n'est pas près de disparaître… Too big to fail
[^] # Re: Entente illicite
Posté par devnewton 🍺 (site web personnel) . Évalué à 5.
Sur la santé, ils ne sont pas too big to fail, c'est nos hôpitaux, médecins et autres structures de santé qui sont too stupid to avoid them.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.