🔴 LE BLACK FRIDAY EN DIRECT ! 🔴 LE BLACK FRIDAY EN DIRECT !

Ce gestionnaire de mots de passe veut que vous n'en utilisiez plus, du tout

20 novembre 2022 à 10h30
15
clés de sécurité © 1Password
Bienvenue dans un monde sans mots de passe (© 1Password)

1Password anticipe la disparition presque programmée du mot de passe en faisant la part belle aux clés de sécurité, que le service devrait proposer à ses clients dès l'an prochain.

Le gestionnaire de mots de passe 1Password, qui a récemment rejoint l'alliance FIDO (consortium qui fournit les normes d'authentification forte), prépare déjà l'avenir. Alors que le monde sans mot de passe, c'est déjà demain, le service ne veut pas se laisser déborder ni se laisser mourir comme celui qui fut pendant des années son leitmotiv. Ses équipes viennent ainsi de dévoiler une démo et une présentation de ses passkeys, à savoir ses clés de sécurité, ou clés d'accès.

Des clés de sécurité qui ne peuvent pas faire l'objet de violations de données

1Password en est convaincu, les clés d'accès offriront une nouvelle façon de se connecter à un site ou compte en ligne, sans avoir à utiliser le moindre mot de passe. « Avec cette solution, imaginez que vous n'avez plus besoin de les modifier ni de vous soucier du nombre de symboles ou de caractères spéciaux pour chacun des sites » qui nécessitent un ou plusieurs moyens d'authentification.

Dès le début de l'année 2023, 1Password veut pouvoir offrir la possibilité à ses utilisateurs de se connecter à leurs applications et sites web sans mot de passe. La technologie permet de remplacer ses mots de passe traditionnels par une clé qui ne peut pas être dérobée en cas de violation de données. Apple, avec son système de reconnaissance faciale FaceID, permet par exemple de déverrouiller son iPhone ou son iPad, mais aussi de se connecter à des applications et de valider des achats.

Les clés d'accès présentent un avantage de sécurité en ce qu'elles sont stockées sur vos appareils, et que l'on ne peut y accéder qu'à l'aide de la biométrie. S'il n'y a pas de mot de passe à entrer, ce qui peut perturber, on peut comparer cela à une clé physique que l'on va brancher sur son ordinateur ou téléphone. Les « clés de passe » utilisent la même technologie, à la différence qu'elles sont entièrement basées sur un logiciel.

1Password présente une clé de sécurité qui a l'avantage d'être interopérable

1Password envisage la question d'une tout autre manière qu'Apple, ne manquant pas de préciser que sa solution est meilleure que les autres. Mais pourquoi ? Les clés d'accès du service sont construites pour prendre en charge plusieurs plateformes, ainsi que la synchronisation multiplateforme. Autrement dit : chaque compte obtiendra sa propre clé d'accès, et ces dernières fonctionneront de manière interopérable. « Vous devriez pouvoir utiliser l'application ou l'appareil de votre choix pour créer, gérer et vous authentifier avec des clés d'accès », indique le service.

Aujourd'hui, et c'est là que 1Password fait fort, les clés d'accès utilisées par d'autres plateformes (Apple, par exemple) nécessitent d'utiliser un appareil du même écosystème pour s'authentifier. « La synchronisation avec d'autres systèmes d'exploitation ou le partage de clés d'accès nécessite des solutions de contournement fastidieuses, comme un QR Code, ce qui se traduit par une expérience plus compliquée et moins sécurisée », précise 1Password.

1Password n'est pas le premier à se lancer dans le sans mot de passe. Son concurrent Dashlane propose un système de clés d'accès depuis cette année. Il ne fait aucun doute que d'autres gestionnaires de mots de passe (il faudra bientôt les appeler autrement d'ailleurs) leur emboîteront le pas. Les géants Apple (qui a déployé son Trousseau iCloud dans macOS Ventura et iOS 15) et Google (en bêta test) ne sont pas en reste.

Source : Blog 1Password

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
15
13
tux.le.vrai
pas bien compris comment celà fonctionne mais je lis :<br /> "Les clés d’accès présentent un avantage de sécurité en ce qu’elles sont stockées sur vos appareils, et que l’on ne peut y accéder qu’à l’aide de la biométrie. "<br /> Alors, le jour où je reviens à moi sur mon lit d’hôpital avec le visage abimé, je ne pourrai plus accéder à aucune identification ? en particulier mail et compte bancaire ?<br /> Une clef stockée sur nos appareils est-elle vraiment à l’abri ?<br /> J’imagine qu’il faut faire confiance à 1Password qui doit sans doute assurer qu’en aucun cas il ne connais la clef ?<br /> faudrait que je trouve l’explication du système 1Password, celà répondrait sans doute à mes interrogations ?
Rapeqe
On ne parle pas, dans ce cas-ci, du logiciel 1password. On parle plutôt, par exemple, de votre tablette Apple qui vous reconnait par votre visage ou optionnellement avec un court mot de passe pin. La clé est alors en sécurité tant que l’OS de la tablette en soit n’est pas corrompu, mais seulement dans ce cas.<br /> D’autres appareils, comme les clé fido dédiées (ex. Yubikey), permettent de conserver ses clés en sécurité, qu’importe l’état de l’os ou du navigateur hôte. En revanche, un navigateur corrompu pourrait vous faire signer le mauvais site.<br /> Ce sont là les limites du système, ce qui est bien moins pire qu’un système de gestion de mots de passes en clair.
max6
citation « Apple, avec son système de reconnaissance faciale FaceID, permet par exemple de déverrouiller son iPhone ou son iPad, mais aussi de se connecter à des applications et de valider des achats. »<br /> mais on peut aussi déverrouiller avec un code pin, que se passe-t-il alors parce que si on accès à l’application 1Password leur biométrie c’est du flan et si le seul accès est la biométrie que faire en cas de pannes de l’appareil photo. Accès quand même dans un cas,plus d’accès dans l’autre ?<br /> Dans ce cas hors de question.<br /> Ce ne serait pas encore une bonne histoire de marketing tout ce cirque parce qu’en informatique dès qu’on parle de sécurité « inviolable » je sens mes poils se hérisser !
gamez
l’identification par reconnaissance faciale ne peut elle pas être dupée par une simple photo?<br /> concernant l’article dans sa globalité, je n’ai pas compris le mode d’action de ce gestionnaire.<br /> concrètement comment ça se passe?
JeanFIZ
Dashlane, 1Password…<br /> Je préfère Trousseau iCloud Apple California.
dimebag
Il y en a qui se crée vite des noeuds au cerveau…c’est pas encore en place et il y a des tas de personnes qui bossent là dessus pour régler les problèmes, cool les gens…
alabifr
Personne n’a compris. Normal, c’est juste une pub déguisée. J’ai keepass et authy pour la double authentification. Authy est la meilleure solution pour la double authentification, surtout c’est totalement gratuit. Seulement il y a un hic :très peu de sites internet proposent la double authentification, quelle soir matérielle ou software, à part quelques uns qui ont un système propriétaire, comme par exemple les banques, orange… Alors, ce logiciel dont ont fait l’éloge, comment peut il faire si les sites visités ne sont pas compatibles ?
ar-s
Par une simple photo non depuis longtemps, du moins pas sur les smartphones haut de game. ça prend en compte la 3Ddu visage. Avec un masque latex genre film j’en sais rien ^^
max6
Le trousseau est une fonction que l’on retrouve sur tous les OS encore que celui de microsoft soit un vrai b…del (pour avoir été obligé de fouiller dedans pour supprimer des clé obsolètes qui se mélangeaient avec des clé fonctionnelle portant la même nom).<br /> Mais celui des MAC est aussi simple d’utilisation que celui que l’on trouve dans les distributions Linux mais ce n’est pas vraiment conçu pour le même usage.
Peggy10Huitres
pas bien compris comment celà fonctionne<br /> Normal, ce n’est pas du tout expliqué !<br /> Pas compris comment une clé pouvait se logger sans login/password quand le site ou le compte en question demande un login/password pour se connecter …<br /> Pour supprimer le couple login/password il faut déjà que les sites du monde entier ne fonctionnent plus sur le principe login/password non ?<br /> Pas très clair tout ça !
xavz78
Autant sur Smartphone la biométrie j’accepte, c’est sûr sauf couteau sous la gorge (au sens litéral). A condition de ne pas le perdre ou se le faire voler.<br /> Par contre sur ordinateur, j’ai plus de mal. Je ne connais que les lecteurs d’empreinte avec la possible interception entre le lecteur et le logiciel…
Feunoir
1password a rejoint l’alliance FIDO (Fast ID Online) et veut s’y faire une petite place (car sa survie en dépend)<br /> Donc on parle en fait de la technique de clé cryptographique privé/publique poussée par cette Alliance là (de gros poissons)<br /> Tellement gros qu’ils pensent pouvoir l’imposer facilement (faut dire Apple/Microsoft/Google c’est déjà une bonne base coté système d’exploitation)<br /> C’est basé sur une clé privé gardé sur notre machine qui sert de base pour faire une clé publique que l’on file au site pour s’identifier.<br /> Si je comprends bien 1password souhaite pouvoir faire l’intermédiaire pour faciliter le transfert de la clé privé entre nos différents matos, car par défaut c’est pour l’instant assez difficile de passer entre android/Apple/microsoft, ici l’app 1password pourrait générer une clé privé pour les sites chaque fois que l’on change de matos.<br /> La faq de l’alliance FIDO donne qq réponses aux questions les plus évidentes<br /> FIDO Alliance<br /> FAQ's - FIDO Alliance<br /> General Questions Standards FIDO &amp; Security How does FIDO work? FIDO2 New Work Areas Metadata Service FIDO Certification Biometrics Program FIDO &amp; Regulation FIDO IoT Passkeys<br /> Est. reading time: 1 minute<br /> Le problème c’est que c’est au bon vouloir de chaque site au final, est ce qu’ils vont mettre des moyens pour refaire leur partie login? Est ce que google/bing vont déclasser dans leur moteur de recherche les sites qui n’utilisent pas le FIDO pour les inciter à le faire?<br /> Perso sans aller vers leur FIDO j’aurais au moins voulu une uniformisation des limites des password, genre 512caracteres maximum, 20 minimum, tous les caractères acceptés (tous les spéciaux) et on évite la confirmation incompatible password manager (retaper le password à la main : GRDF je pense a vous) car là c’est plutôt une règle à connaitre par site.<br /> (C’est Keepass qui tape mes password, j’en connais aucun (hors le master), qu’ils fassent 20 ou 500 cela ne change rien pour moi)
Peggy10Huitres
Ok merci pour toutes ces précisions !<br /> et on évite la confirmation incompatible password manager (retaper le password à la main : GRDF je pense a vous) car là c’est plutôt une règle à connaitre par site.<br /> (C’est Keepass qui tape mes password, j’en connais aucun (hors le master), qu’ils fassent 20 ou 500 cela ne change rien pour moi)<br /> En plus sur le mien j’ai un problème je crois, le fait qu’il remplisse très vite les champs login/password automatiquement, certains sites pensent que je suis un bot et me verrouille l’accès !
promeneur001
Oui certains sites n’acceptent pas lors de la création de compte ou renouvellement du mdp que le générateur de mdp remplisse les champs. Il faut les remplir à la main.<br /> Exemple ENEDIS, Leroy-Merlin, etc. Et ce n’est pas une sinécure pour un mdp de 14 symboles. Ne parlons pas de la liste limitée de symboles spéciaux ! Désormais, j’y pense à chaque fois que j’ai une erreur bizarre ou un échec.
promeneur001
Pour M et Me Dupont ça va dans le bon sens. Il faut aller vers un procédé transparent pour l’utilisateur. Reste la gestion des clés quand on change d’appareil pour un neuf ou quand on installe une nouvelle version d’OS par réinstallation. Là aussi, il faut que ça soit transparent.<br /> Il faudrait peut-être généraliser l’identité numérique comme la carte d’identité. On a bien tous un numéro de Sécurité sociale.<br /> Quant à sa généralisation, une règlementation peut le faire. Ce ne serait pas une première en matière de sécurité.
Voir tous les messages sur le forum

Derniers actualités

Réseaux sociaux : comment la Chine cache les protestations... avec du porno
Magnifiques photos de la capsule Orion, sur son orbite avec vue sur la Terre et la Lune !
Trottinettes en libre-service interdites aux mineurs, ça arrive à Paris
Gigabyte laisse fuiter ses GeForce RTX 4070 Ti et Radeon RX 7900 !
Black Friday : Amazon brade le prix du MacBook Air M1 (mois de 950€) !
Ce casque gaming Corsair est presque à -50% pour le Black Friday
Profitez d'une remise de prix sur le Smart Keyboard d'Apple pour le Black Friday
Cyber Monday Amazon : TOP 10 des promos high-tech jusqu'à ce soir minuit !
Après le Black Friday, le Cyber Monday s'attaque au prix des écouteurs Jabra Elite 3
Ces enceintes LG pourraient être invisibles dans nos voitures... mais y offrir un son 3D
Haut de page