Un nouveau standard web qui ne nécessite pas de mot de passe : WebAuthn

Par Emmanuel

Va-t-on assister à la mort imminente du mot de passe sur le web ? On peut le penser dans la mesure où un nouveau standard web vient d’être officialisé : il s’agit de WebAuthn. Le dispositif fait partie de la technologie FIDO2, qui permet donc aux usagers de pouvoir se connecter à différents services du net sans mot de passe.

Vers la fin du mot de passe pour les connexions internet ?

Voici un nouveau standard web qui vient d’être officialisé par le consortium W3C : il s’agit de WebAuthn (pour Web Authentication). Ce dispositif est une API, qui renforce les dispositifs d’authentification sur le web grâce à la technologie FIDO2. On s’oriente alors vers une simplification des connexions web.
Il s’agit donc de ne plus utiliser les mots de passe pour aller sur des applications ou des sites internet. Afin d’y parvenir, plusieurs protocoles cryptographiques ont été mis en place. En premier lieu, c’est à l’usager de choisir un « système authentificateur ».
Par exemple, il peut s’agir d’un lecteur d’empreinte de mobile ou d’un dispositif de reconnaissance faciale d’un PC portable. Dans un second temps, cet « authentificateur » va concevoir une clé publique mais aussi une clé privée, avec chacune un usage spécifique.

WebAuthn : des atouts non négligeables

La première clé sera destinée au service web pour un stockage au sein de la base de données. Quant à la deuxième clé, elle sera dédiée à un stockage local. C’est donc par ce biais-là que l’internaute pourra se passer de mot de passe, en sollicitant son système authentificateur pour se connecter directement.
Il faudra alors poser tout simplement son doigt sur le lecteur d’empreintes ou visualiser son dispositif de reconnaissance faciale, et le tour est joué. Avec un tel système, les avantages sont pluriels : ainsi, les identifiants ne peuvent plus fuiter.
De même, il est plus difficile d’usurper l’identité d’un usager, car la technologie mise en place est très efficiente face aux attaques d’interception comme celles dénommées Man-in-the Middle. Enfin, les attaques de phishing sont rendues beaucoup plus difficiles, le nom de domaine du site étant lié aux clés générées par FIDO2.

Dernière mise à jour le 12 mars 2019

Vous aimerez aussi

S’abonner
Notification pour
guest
0 Commentaires
Le plus ancien
Le plus récent Le plus populaire
Commentaires en ligne
Afficher tous les commentaires
0
Nous aimerions avoir votre avis, veuillez laisser un commentaire.x