Post · bonfire.cafe

@sebsauvage@framapiaf.org · 2 months ago

#sécurité
Vous savez que je ne suis pas fan des Passkeys que tous les GAFAM et sites poussent à fond.
Et je suis tombé sur un article qui résume ça bien :
Finalement ce sont des mots de passe forts générés aléatoirement et stockés dans un gestionnaire de mots de passe dont vous ne pouvez pas changer, prisionnier d'un GAFAM, et que vous ne pouvez pas exporter.

https://sc.vern.cc/@danfabulich/passkeys-are-just-passwords-that-require-a-password-manager-ebb7f2fdcadf

Erwan 🚄

@R1Rail@pouet.chapril.org replied · 2 months ago

@sebsauvage Oui, et du coup ton mot de passe pour ce GAFAM devient un mot de passe unique pour les controler tous et chez ce GAFAM les lier...

Parano-Sprite

@ParanoSprite@mamot.fr replied · 2 months ago

@sebsauvage

F. Maury ⏚

@x_cli@infosec.exchange replied · 2 months ago

@sebsauvage Pourquoi vouloir les exporter quand on peut avoir des passkeys distinctes pour un même compte, stockées par des fournisseurs différents ? Avoir plusieurs mots de passe pour un même compte n'a pas beaucoup de sens, mais plusieurs passkeys, ça marche très bien.
Après, oui, il faudrait un antitrust sur Google Password/iCloud de la même manière qu'il y a eu un antitrust sur Internet Explorer, avec proposition d'installer un autre gestionnaire lors de la première configuration, avec migration automatique.
Aucune chance que ça arrive sous l'administration Trump.

Grishka

@grishkaone@piaille.fr replied · 2 months ago

@sebsauvage Il me semble que les méthodes pour exporter/importer les passkey sont en cours de standardisation cf. https://blog.1password.com/fido-alliance-import-export-passkeys-draft-specs/ et https://fidoalliance.org/mobileidworld-apple-introduces-cross-platform-passkey-import-export-features-across-operating-systems/

Perso je regrette que ça n'ait pas été une brique immédiatement disponible, mais à minima ça apporte une solution sécurisée pour qu'aucun utilisateur ne soit réellement prisonnier. Quand bien même 99% n'y recourront pas, la solution sera là.

sebsauvage

@sebsauvage@framapiaf.org replied · 2 months ago

@grishkaone
Oui il *faut* que la solution soit là.

:sigil: Lou Lüeder

@lou_de_sel@eldritch.cafe replied · 2 months ago

@sebsauvage Bitwarden sait gérer les passkeys avec son extension de navigateur et sur les versions d'Android qui supportent l'usage d'un fournisseur tiers (à partir d'Android 15 et si le constructeur a activé la fonctionnalité) donc on est pas entièrement bloqués encore.

sebsauvage

@sebsauvage@framapiaf.org replied · 2 months ago

@lou_de_sel
Oui c'est possible.
Mais pour 99% des gens, ça sera la solution par défaut (GAFAM).

Zgou 🔥

@zgou@diaspodon.fr replied · 2 months ago

@sebsauvage Les passkeys n'ont rien à voir avec les GAFAM, et ne sont pas "de simple mot de passe".

Et je ne sais pas si l'auteur·ice pense honnêtement qu'on migre de gestionnaire de mdp avec des copier-collers ou a déjà migré de gestionnaire de mdp

sebsauvage

@sebsauvage@framapiaf.org replied · 2 months ago

@zgou
Les passkeys sont stockées sur l'appareil dans une zone sécurisée.
Et si tu as un OS de Microsoft/Apple/Google, c'est aux mains des GAFAM et tu ne peux *pas* transférer des Passkeys sur un appareil Linux, par exemple.

Donc dans la pratique, si, c'est aux mains des GAFAM.

Clem ABT

@clemabt@ludosphere.fr replied · 2 months ago

@sebsauvage @zgou tu peux avoir tes passkeys dans keepassxc sous Linux, donc hors GAFAM.

Zgou 🔥

@zgou@diaspodon.fr replied · 2 months ago

@sebsauvage Les passkeys ne sont pas nécessairement stockés sur l'appareil, par exemple quand on utilise Bitwarden, 1password, ProtonPass, Keepass ou des clefs physiques.

Et ils peuvent être stockés sur l'appareil, ou clefs physique mais c'est possible d'en enrollé plusieurs

deuxfleurs

@deuxfleurs@mamot.fr replied · 2 months ago

@zgou @sebsauvage Oui j'ai pas bien compris le lien avec les GAFAM, mes passkeys sont stockées dans BitWarden et je crois bien qu'elles sont synchronisées entre les mes appareils.

Zgou 🔥

@zgou@diaspodon.fr replied · 2 months ago

@sebsauvage Bref, article qui manque de connaissance sur le sujet ou malhonnête.

Et je pense qu'on peut promouvoir keepass au passage (qui supporte les passkeys - la version sur Android arrive)

Queentin

@pugeatquent@mastodon.online replied · 2 months ago

@sebsauvage Alors il faut tempérer. Une passkey n'est pas dépendante d'un gestionnaire de mot de passe, c'est stockable en direct sur l'appareil. C'est ni plus ni moins qu'une Yubikey virtuelle.

sebsauvage

@sebsauvage@framapiaf.org replied · 2 months ago

@pugeatquent
C'est stockage sur l'appareil, dans une zone sécurisée.
Et si tu as un OS de Microsoft/Apple/Google, c'est aux mains des GAFAM et tu ne peux *pas* transférer des Passkeys sur un appareil Linux, par exemple.

Queentin

@pugeatquent@mastodon.online replied · 2 months ago

@sebsauvage Normal, les passkeys n'ont pas vocation à être transférées. Un passkey est, normalement, strictement confinée dans la zone de stockage d'un appareil.

Queentin

@pugeatquent@mastodon.online replied · 2 months ago

@sebsauvage Il faut imaginer qu'il s'agit d'une manière forte d'autoriser UN appareil à accéder à un compte. Un appareil = une passkey.

Thomas Lemarchand

@thomas@mastodon.lemarchand.io replied · 2 months ago

@sebsauvage As tu lu jusqu'à la fin ? L'auteur explique aussi le bénéfice en terme de sécurité. Ce n'est pas juste un password que tu ne peux pas exporter.

sebsauvage

@sebsauvage@framapiaf.org replied · 2 months ago

@thomas
oui oui le fait qu'on ne puisse *pas* les exporter évite qu'on se les fasse voler (en théorie).
C'est de la "sécurité", mais pas le genre de sécurité que je trouve bien. En gros tu es prisonnier d'un GAFAM.

Thomas Lemarchand

@thomas@mastodon.lemarchand.io replied · 2 months ago

@sebsauvage Mes passkeys sont dans mon vaultwarden/bitwarden. Je ne me sens pas tellement prisonnier.

sebsauvage

@sebsauvage@framapiaf.org replied · 2 months ago

@thomas
Super 👍
Mais tu fais parti des 1% qui utilise un gestionnaire de mdp/passkeys alternatif.

Thomas Lemarchand

@thomas@mastodon.lemarchand.io replied · 2 months ago

@sebsauvage Peut être, mais ça reste un standard. Est-ce que les problème c'est les passkeys, ou que les utilisateurs choisissent majoritairement les GAFAM pour tout ?
Je n'ai pas l'impression que les passkeys vont augmenter l'emprise des GAFAM. Les gens qui utilisent déjà les GAFAM y resteront, ceux qui sont "éclairés" (le terme peut prêter à débat =) ) ont déjà les solutions pour faire du passkeys (qui est un standard) sans GAFAM.

bonfire.cafe

A space for Bonfire maintainers and contributors to communicate

bonfire.cafe: About · Code of conduct · Privacy · Users · Instances

Bonfire social · 1.0.0-rc.3.1 no JS en

Automatic federation enabled