L’Alliance FIDO a publi une version prliminaire d’un nouvel ensemble de spcifications qui, une fois mises en uvre par les principaux fournisseurs de cls de scurit, permettra d’importer et d’exporter des passkeys d’une manire la fois pratique et scurise. Selon 1Password, il s’agit d’une tape importante pour s’assurer que les propositions sont rellement adaptes aux objectifs.
Les passkeys sont conus pour offrir aux sites web et aux applications une exprience de connexion sans mot de passe qui est la fois plus pratique et plus sre. Les Passkeys reposent sur la norme WebAuthentication (ou « WebAuthn« ), qui utilise la cryptographie cl publique. Lors de l’enregistrement du compte, le systme d’exploitation cre une paire de cls cryptographiques unique associer un compte pour l’application ou le site web. Ces cls sont gnres par l’appareil, de manire sre et unique, pour chaque compte.
L’une de ces cls est publique et est stocke sur le serveur. Cette cl publique n’est pas secrte. L’autre cl est prive, et c’est ce qui est ncessaire pour se connecter. Le serveur n’a jamais connaissance de la cl prive. De cette manire, les Passkeys rsistent l’hameonnage, sont toujours fortes et conues de manire ce qu’il n’y ait pas de secrets partags. Elles simplifient l’enregistrement des comptes pour les applications et les sites web, avec l’objectif de remplacer les mots de passe.
Si les passkeys prsentent de tels avantages, pour l’instant, ils ne peuvent tre dplacs en toute scurit et sont confins l’cosystme logiciel de chaque entreprise. Pour rsoudre ce problme, l’Alliance FIDO a publi une version prliminaire d’un nouvel ensemble de spcifications pour pouvoir importer et exporter des cls d’accs en toute scurit.
Exciting News on Passkeys! 🔑
We teamed up with @FIDOAlliance members, including @Google, @Apple, @Microsoft, and @Samsung to develop a new set of specifications that will allow you to import and export passkey.
These specifications introduce a universal format and a secure way pic.twitter.com/RRrayjT6Mq
— 1Password (@1Password) October 14, 2024
Importer et exporter les passkeys en toute scurit
Les passkeys prsentent des avantages par rapport aux mots de passe. Ils sont plus simples utiliser car il n’y a rien mmoriser, taper ou coller. De plus, ils sont toujours robustes et intgrent l’authentification multifactorielle. En bref, les passkeys sont meilleurs que les mots de passe. Mais pourquoi les passkeys ne sont-ils pas autant populaires que les mots de passe ? Quel est le problme ?
l’heure actuelle, vous ne pouvez pas dplacer vos passkeys en toute scurit entre diffrents gestionnaires de mots de passe. Il s’agit d’une lacune technique qu’il faut rsoudre. Aprs de nombreux mois de rflexion, de prototypage et de discussion entre entreprises de scurit, l’Alliance FIDO a prsent deux projets de spcifications des passkeys.
L’Alliance FIDO est une association industrielle ouverte dont la mission est de rduire la dpendance du monde l’gard des mots de passe. L’Alliance FIDO a publi une version prliminaire d’un nouvel ensemble de spcifications qui, une fois mises en uvre par les principaux fournisseurs de cls de scurit, vous permettront d’importer et d’exporter des passkeys d’une manire la fois pratique et scurise.
Ces nouvelles spcifications sont appeles :
- Credential Exchange Protocol (CXP)
- Credential Exchange Format (CXF)
Ces spcifications fournissent un format universel et un mcanisme scuris pour le transfert de toutes sortes d’informations d’identification. Cela comprend les passkeys, les mots de passe traditionnels et tout ce qui est gnralement trait l’aide d’un fichier CSV. Si toutes les entreprises adoptent ces nouvelles spcifications, il sera plus simple pour tout le monde d’utiliser et de stocker les passkeys l o ils le souhaitent.
Voici l’annonce de l’Alliance FIDO le 14 octobre 2024 :
L’alliance FIDO publie de nouvelles spcifications visant promouvoir le choix de l’utilisateur et l’amlioration de l’exprience utilisateur pour les passkeys.
La FIDO Alliance a publi une version prliminaire d’un nouvel ensemble de spcifications pour l’change scuris d’informations d’identification qui, une fois normalises et mises en uvre par les fournisseurs d’informations d’identification, permettront aux utilisateurs de transfrer en toute scurit des passkeys et toutes autres informations d’identification d’un fournisseur l’autre. Ces spcifications sont le fruit de l’engagement et de la collaboration des membres du Credential Provider Special Interest Group de la FIDO Alliance, notamment des reprsentants de : 1Password, Apple, Bitwarden, Dashlane, Enpass, Google, Microsoft, NordPass, Okta, Samsung et SK Telecom.
L’change scuris d’informations d’identification est l’une des priorits de l’alliance FIDO, car il peut contribuer acclrer l’adoption des passkeys et amliorer l’exprience des utilisateurs. Aujourd’hui, plus de 12 milliards de comptes en ligne sont accessibles avec des passkeys et les avantages sont vidents : les connexions avec des passkeys rduisent le phishing et liminent la rutilisation des informations d’identification tout en rendant les connexions jusqu’ 75 % plus rapides et 20 % plus russies que les mots de passe ou les mots de passe plus un deuxime facteur comme le SMS OTP.
Forte de cet lan, l’alliance FIDO s’est engage favoriser un cosystme ouvert, promouvoir le choix de l’utilisateur et rduire les obstacles techniques lis aux passkeys. Il est essentiel que les utilisateurs puissent choisir la plateforme de gestion des identifiants qu’ils prfrent et changer de fournisseur d’identifiants en toute scurit et sans contrainte. Jusqu’ prsent, il n’existait pas de norme pour le dplacement scuris des informations d’identification, et le dplacement des mots de passe ou d’autres informations d’identification s’effectuait souvent en clair.
Les projets de spcifications de la FIDO Alliance – Credential Exchange Protocol (CXP) et Credential Exchange Format (CXF) – dfinissent un format standard pour le transfert d’informations d’identification dans un gestionnaire d’informations d’identification, y compris les mots de passe, les cls de passe et autres, vers un autre fournisseur d’une manire qui garantit que le transfert n’est pas effectu en clair et qu’il est scuris par dfaut.
Une fois normalises, ces spcifications seront ouvertes et disponibles pour que les fournisseurs d’informations d’identification les mettent en uvre afin que leurs utilisateurs puissent bnficier d’une exprience sre et facile lorsqu’ils choisissent de changer de fournisseur.
Les projets de spcifications sont ouverts l’examen et aux commentaires de la communaut ; ils ne sont pas encore destins tre mis en uvre car les spcifications peuvent tre modifies. Les personnes intresses peuvent lire les projets de spcifications ici et faire part de leurs commentaires sur le site GitHub de l’Alliance. Les projets devraient tre mis jour et publis rgulirement pour examen public jusqu’ ce que les spcifications soient approuves pour la mise en uvre.
L’Alliance FIDO remercie tout particulirement les membres du Credential Provider Special Interest Group et ses responsables pour leur contribution cette importante spcification.
Pourquoi cette initiative ?
Selon 1Password, qui a rejoint l’Alliance en 2022 et est membre du conseil d’administration, vous tes propritaire de vos donnes. Une vritable proprit signifie que vous pouvez tlcharger les informations lies votre compte et les transfrer un nouveau service quand vous le souhaitez. 1Password dclare « pour tre clair, nous n’avons aucun intrt crer un jardin clos ou vous enfermer dans 1Password. Les mots de passe doivent pouvoir tre transfrs d’une manire simple et totalement scurise.«
Les passkeys sont extrmement prcieux car, contrairement aux mots de passe, ils sont souvent assortis d’une authentification multifactorielle. Exporter vos passkeys en clair est donc beaucoup, beaucoup trop risqu. Tout le monde s’accorde dire qu’il faut faire mieux. Ces projets de spcifications garantiront ainsi que vos mots de passe et autres donnes sensibles bnficient toujours de la protection qu’ils mritent.
1Password commente cette annonce :
Nous avons rdig ces normes en collaboration avec nos homologues du secteur au sein de l’alliance FIDO. En travaillant ensemble, nous crons une exprience sans mot de passe vritablement ouverte et transparente. Les versions prliminaires de ces spcifications sont dsormais la disposition du secteur de la scurit pour qu’il les examine. Il s’agit d’une tape importante pour s’assurer que les propositions sont rellement adaptes leur objectif.
Nous utiliserons les commentaires de la communaut pour amliorer les spcifications alors que nous travaillons leur mise en uvre dans notre gestionnaire de mots de passe. 1Password s’engage prendre en charge le nouveau format et le nouveau protocole d’change, et vous informera ds que l’option d’importation et d’exportation des cls sera disponible.
propos de 1Password
Bnficiant de la confiance de plus de 150 000 entreprises et de millions de consommateurs, 1Password offre des solutions de scurit de l’identit et de gestion de l’accs conues pour la faon dont les gens travaillent et vivent aujourd’hui. 1Password a pour mission d’liminer le conflit entre la scurit et la productivit en scurisant chaque connexion pour chaque application sur chaque appareil. En tant que fournisseur du gestionnaire de mots de passe d’entreprise le plus utilis, 1Password continue d’innover sur sa base solide pour offrir des solutions de scurit sur lesquelles comptent des entreprises de toutes tailles, y compris Associated Press, Salesforce, GitLab, Under Armour et Intercom.
Source : 1password
Et vous ?
Pensez-vous que cette initiative est crdible ou pertinente ?
Quel est votre avis sur le sujet ?
Voir aussi :