Connexion sans mot de passe : WebAuthn est officiellement un standard Web

Le par  |  2 commentaire(s)
cyber-security

Nouveau coup de canif pour l'utilisation des mots de passe. WebAuthn devient un standard Web. Il s'agit essentiellement d'une officialisation.

Les navigateurs Google Chrome, Firefox et Microsoft Edge prennent déjà en charge l'API WebAuthn qui est par ailleurs testée dans Safari d'Apple. La technologie WebAuthn est également déjà supportée dans Windows 10 et Android, sans compter des mises en application avec les comptes Microsoft et Dropbox par exemple.

C'est donc en toute logique que le World Wide Web Consortium (W3C) et l'Alliance FIDO (Fast IDentity Online) ont annoncé la finalisation de WebAuthn en tant que standard Web pour des connexions sécurisées et sans mot de passe.

L'API Web Authentication (WebAuthn) permet à des sites web de communiquer avec un dispositif de sécurité afin qu'un utilisateur puisse se connecter à un service. C'est le pendant web du protocole CTAP2 (Client to Authenticator Protocol) de l'Alliance FIDO pour la technologie d'authentification sécurisée FIDO2.

FIDO2
Le dispositif de sécurité peut par exemple être une clé de sécurité FIDO à insérer dans un port USB, le dispositif biométrique d'un appareil ou un appareil mobile lui-même. Une clé FIDO est unique pour chaque site.

FIDO2 utilise le chiffrement par clé publique / privée. Les données sont authentifiées localement sur l'appareil. La création et le stockage de manière sécurisée des clés cryptographiques ont lieu en local et à la demande.

" Les sites peuvent activer FIDO2 par simple appel API sur les navigateurs et toutes plateformes équipées, au moyen de milliards d'appareils utilisés quotidiennement par les consommateurs ", écrivent le W3C et l'Alliance FIDO.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2053496
Du coup, cela serait possible, dans quelques temps, de se connecter à un site en utilisant le lecteur d'emprunte de l'ordinateur ? Ce serait chouette.
Le #2053506
jujubibi a écrit :

Du coup, cela serait possible, dans quelques temps, de se connecter à un site en utilisant le lecteur d'emprunte de l'ordinateur ? Ce serait chouette.


Oui c'est ça. Je suis tombé sur cette demo il y a une semaine : https://webauthn.spomky-labs.com/

Ça marche sur mon téléphone (android 9), avec les ancienne clé FIDO U2F et avec le lecteur d'empreintes du macbook pro (sous chrome seulement). Reste à voir pour les autres
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme