#sécurité
Les Passkeys sont une n-ième tentative pour se débarasser des mots de passe.
Ça pourrait marcher, mais il y a aussi un risque que nos identités soient encore prisonnières des GAFAM. https://sebsauvage.net/links/?Ao8CoA
Excellent « lien » avec une explication bien claire comme on les aime.
Petite remraqrue : sous Linux, le gestionnaire de secrets (incl. les clefs privées) est « SeaHorse », pas « SeaMonkey » (qui est le descendant de Netscape Communicator !)…
@sebsauvage Mais du coup si c'est stocké par l'OS, c'est pas multi-périphériques ? Ou ça contraint l'utilisation d'un système de synchro fortement lié à l'OS (ex : Google Cloud sous Android, OneCloud pour Windows/MS, etc...) ? Ou je rate un truc ?
@GTechene
Justement, ce n'est pas (par défaut) multi-périphériques.
C'est censé être le matériel qui assure le stockage sécurisé de la clé (exemple, puce SecureEnclave chez Apple, TPM, etc.)
Du coup, bien sûr, les GAFAM vont se précipiter pour proposer de stocker ça dans leur cloud. ☹️
Note que c'est le même problème avec les mots de passe: Si tu ne stock par chez un GAFAM, tu dois te démerder toi-même pour la sauvegarde/synchro.
KeepassXC vient d'activer les passkeys dans sa dernière mouture.
On a donc une implémentation libre, non-dépendante d'un GAFAM, qu'on peut synchroniser via ses propres moyens.
Pas encore testé autre part que sur passkeys.io, cela dit.
Sans doute que d'autres gestionnaire de mots de passe ont déjà commencé le travail également.
Bref, ça me donne de l'espoir.
Merci.
De ce que je comprends, ça gère bien en effet le risque de perte du téléphone.
Mais si on te vole ton téléphone ? Comment est protégé ton keepassDX ?
Saisir un mot de passe sur téléphone c'est une plaie, surtout s'il est assez long pour être réellement une protection...
Ou tu utilises la biométrie ? Mais ça pose plein d'autres problèmes...
@sebsauvage
wahou ça vends du rêve !
mais effectivement il faudra des solutions hors GAFAM.
Et portables / synchronisables entre plusieurs appareils (j'imagine que c'est trivial ça).
@sebsauvage@matiu_bidule je trouve l'implémentation assez gonflante en terme d'expérience utilisateur. Et puis on est un peu obligés de s'identifier chez Microsoft, Google, Apple et les autres si on utilise des navigateurs et appareils différents. Un bon vieux gestionnaire de mots de passes et un SMS ou clé FIDO c'est quand même plus simple quand les synchronisations se passent bien.
@sebsauvage Donc on te vole ta clé privée, on te vole tous tes accès, contrairement aux mots de passe si tu en avais des uniques sur chaque site/compte. Pas sûr de comprendre l'intérêt du coup 😕
Oui c'est aussi problématique que de se faire voler sa base Keepass.
La différence étant que au moins, côté serveur, un piratage complet ne laissera pas fuiter ton mot de passe.
@sebsauvage je viens de lire ta petite explication, et la première remarque qui me saute à la figure, c'est : mais du coup j'ai un identifiant unique (ma clé publique) connu de chaque site web, de l'os, du navigateur, etc. J'ai loupé un truc ?
@alci
L'astuce est que l'identifiant et la clé privée peuvent être uniques pour chaque site.
Ainsi pas possible de croiser les informations entre différents sites.
Add comment