Ce gestionnaire de mots de passe très connu veut que vous arrêtiez d'en utiliser

Par Mathieu Grumiaux, Expert maison connectée.

Publié le 15 février 2023 à 15h10

L'industrie des nouvelles technologies souhaite se débarrasser à terme des mots de passe et les remplacer par une identification biométrique.

Le mot de passe vit ses dernières années. C'est en tout cas ce que pensent la plupart des géants du Web qui travaillent d'arrache-pied à de nouveaux systèmes plus simples et plus sûrs de s'identifier sur les plateformes en ligne.

Le mot de passe prochainement remplacé par un identifiant biométrique, le « passkey »

Ce nouveau dispositif d'identification s'appelle « passkeys ». En lieu et place d'un mot de passe, qui peut être volé et utilisé frauduleusement, il sera possible à l'avenir de créer un identifiant numérique pour chaque site et chaque plateforme visitée. Celui-ci sera alors relié à une empreinte biométrique, qu'il s'agisse d'un capteur d'empreinte ou d'un système de reconnaissance faciale.

Plusieurs entreprises, et non des moindres, sont partenaires pour mener à bien ce projet ambitieux. On peut citer Apple, qui a lancé les passkeys en septembre dernier avec le lancement d'iOS 16. Microsoft et Google vont également les supporter sur Windows et Android, et à travers leurs logiciels.

Pour le moment, le nombre de sites web et d'applications à prendre en charge les passkeys est faible, mais de plus en plus d'acteurs d'importance prennent à bras le corps le sujet. Les gestionnaires de mots de passe sont ainsi en première ligne, et c'est aujourd'hui le logiciel 1Password qui annonce le support de cette nouvelle technique d'authentification.

1Password adoptera pleinement le passkey à l'été 2023

L'éditeur de 1Password annonce ainsi qu'au cours de l'été 2023, l'extension installée sur votre navigateur internet favori vous permettra de vous connecter directement sur n'importe quel site en utilisant un passkey, sans avoir à entrer le moindre mot de passe.

« Pour que les clés d'accès soient la voie à suivre, il ne suffit pas qu'elles remplacent certains de vos mots de passe. Elles doivent pouvoir remplacer tous les mots de passe, y compris celui que vous utilisez pour déverrouiller 1Password », souligne Steve Won, responsable produit chez 1Password.

Le mot de passe maître, qui sert à accéder à l'ensemble des mots de passe contenus dans le gestionnaire, est ainsi voué à disparaître pour laisser sa place à une authentification biométrique, et ainsi faciliter la vie des utilisateurs tout en renforçant la sécurité de leurs données personnelles. Le chemin est encore long et prendra de nombreuses années, mais les premiers pas sont désormais réalisés.

1Password

moodVersion d'essai limitée
databaseStockage illimité
browse_activityNotification de fuite
lockChiffrement AES-GCM-256

8.7 / 10

Télécharger

Lire le test

Source : The Verge

Par Mathieu Grumiaux

Expert maison connectée

Grand maître des aspirateurs robots et de la domotique qui vit dans une "maison du futur". J'aime aussi parler films et séries sur les internets. Éternel padawan, curieux de tout ce qui concerne les nouvelles technologies.

Articles de Mathieu Grumiaux

Gestionnaire de mot de passe

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

pinkfloyd

donc les capteurs biometrique vont devenir obligatoire sur les claviers ?

ca manque clairement d’information sur l’avenir de cette techno passkey qui s’appuierais donc juste sur la biométrie ou reco faciale ?

Keendalb

C’est exactement la question que je me pose aussi…

gamez

des personnes avaient émis des réserves sur ces systèmes biométriques car si un pirate parvenait à obtenir les infos biométriques d’une cible, même si cette cible s’en aperçoit, il n’y aurait pas moyen de changer ces infos puisqu’elles sont uniques.
un mot de passe est changeable mais pas une empreinte…

thebachman

Pourquoi ne pas mettre directement que c’est 1Password dans le titre??

sources

On en revient quand même toujours à l’idée de confier toute sa sécurité à un opérateur tiers. Je reste dubitatif quand même.

TonTonFomoso

Effectivement si un pirate fais un faux site est qu’on lui donne l’empreinte pour la connexion
c’est fini

Ou sinon il fais un cheval de trois

MattS32

Non, pas nécessairement. Avec les systèmes de biométrie modernes, ni l’empreinte ni sa signature ne sortent du lecteur.

Le principe, c’est que par exemple, si je veux sécuriser l’accès à un fichier je vais :

Générer une clé de chiffrement K totalement aléatoire,
Chiffrer la fichier avec cette clé K,
Chiffrer la clé K avec une clé M dérivée du mot de passe de secours demandé à l’utilisateur (oui, il faut prévoir un secours, on ne peut pas utiliser la biométrie seule…) et stocker cette clé K’ chiffrée à côté du fichier chiffré,
Envoyer la clé K au lecteur d’empreintes pour qu’il la chiffre avec une clé E dérivée de l’empreinte et une clé L intégrée dans le lecteur,
Recevoir du lecteur d’empreinte la clé K’’ chiffrée et l’identifiant du lecteur (juste un identifiant pour reconnaître quand j’ai affaire au même lecteur, cet identifiant n’est pas la clé L, qui ne sort jamais du lecteur),
Conserver K’’ et l’id du lecteur à côté de mon fichier chiffré.

À aucun moment je n’ai eu accès à l’empreinte ou à sa signature. Et comme la clé K (que je connais en clair) a été chiffrée à la fois avec la clé dérivée de l’empreinte et celle du lecteur, je ne peut pas à partir de la version chiffrée déduire la clé E ou l’empreinte. C’est mathématique : si je sais que K" = f(g(K, E), L), en ne connaissant que K" et K je ne peux trouver ni E, ni L, à fortiori si je ne connais même pas f et g (la fonction de chiffrement peut être propre à chaque modèle de lecteur, voire même si on pousse loin à chaque lecteur, et peut être différente pour les deux étapes).

Pour ouvrir l’accès au fichier :

Je regarde si un lecteur d’empreintes dont je connais l’id est accessible,
Si oui, je lui envoie la clé K’’ qui lui correspond et il me renvoie la clé K,
Si non, je demande à l’utilisateur son mot de passe maître et je déchiffre la clé K à partir de K’
Déchiffrer le fichier avec la clé K.

Là encore, aucun accès à l’empreinte où à sa signature.

Bien sûr il y a d’autres cas où l’empreinte peut être volée, via les nombreux endroits où on la laisse physiquement trainer. Mais pas en faisant un faux site utilisant l’identification biométrique ni avec un cheval de Troie.

jean-le-petit

En dehors des sites sensibles (banques notamment), j’ai un mot de passe complexe « universel » qui intègre le trigramme de chaque site. Couplé autant que possible à une authentification double facteur, de préférence avec code tournant sur google authenticator. Je pense que c’est déjà hyper sécure comme ça. Et ce serait bien si plus de sites utilisaient le code tournant OTP.
Pour la biométrie ou l’identité numérique, attendons de voir la plus-value réelle… Mais ce sera pas pour bientôt.

pinkfloyd

Sinon il y a « spectre » si tu veux garder ta logique mais en plus secure :

Sinon je confirme, si deja l’OTP était de rigueur partout, même si ce n’est pas totalement incassable, ca rend deja le problème plus complexe !

ShuntUp

Ca peut se « simuler » en conjuguant les deux en utilisant un algo perso (ou pas).
Par ex: monbopasswordamazon! => sha512 + caractères à la con
= « 74bf9956c461874b576b1d9bd2acab719905ffa89b8e7cbe57f56f46aa23e10d98e95b9329b8510ff4f3f8e22af26c463ec59b510355091c88e31af1b684b9d6% »
monbopasswordclubic! => etc.
« 72efe0d287a9db1724fc87da6fb00a3e92f077b83136758dc9fbd1fdf826b807d684dbf316eb6301a3448870202166aaf1f0c5c96f68f36a6e3bc3d3215cf36f% »
Et ça se module en fonction des limites des sites.

Après faut savoir calculer son algo de tête … ou peut-être simplement toujours avoir un outil sous la main pour le faire.