Discussion
Loading...

Post

  • About
  • Code of conduct
  • Privacy
  • Users
  • Instances
  • About Bonfire
Paris Web
@ParisWeb@mamot.fr  ·  activity timestamp last month

Avec les passkeys, on a une authentification sécurisée, pratique et sans mot passe.
Découvrez comment les implémenter en pratique avec @kehrlann !

https://www.paris-web.fr/2025/conference/passkeys-en-pratique

#passkeys#sécurité #authentification

  • Copy link
  • Flag this post
  • Block
Stéphane Bortzmeyer
@bortzmeyer@mastodon.gougere.fr replied  ·  activity timestamp last month
@ParisWeb @kehrlann Tiens, @sebsauvage avait fait un article négatif : https://sebsauvage.net/links/?GBMO9g

Ping @x_cli pendant que j'y suis.

  • Copy link
  • Flag this comment
  • Block
F. Maury ⏚
@x_cli@infosec.exchange replied  ·  activity timestamp last month
@bortzmeyer @ParisWeb @kehrlann

Hello, oui, j'avais lu l'avis négatif de @sebsauvage et je ne le partage pas.

D'une part, contrairement aux mots de passe, il est possible d'enregistrer plusieurs token FIDO2 par compte. Cela n'aurait aucun sens d'avoir plusieirs mots de passe actifs pour un même compte.
Cette approche pragmatique de permettre plusieurs tokens vient du fait que FIDO2 est implémenté soit avec des passkeys (sauvegardables) soit avec des tokens hardware, et que ces derniers peuvent être perdus ; la redondance est donc bienvenue.

Incidemment, il est possible d'enregistrer plusieurs passkeys, et donc d'opérer une migration "manuellement" d'un fournisseur à l'autre. Ce n'est pas très pratique, mais possible.

Ensuite, FIDO travaille (certainement avec beaucoup trop de retard) à un standard interropérable d'import/export des passkeys :
https://fidoalliance.org/specifications-credential-exchange-specifications/

Enfin, les monopoles semblent se diriger dans la bonne voie, en contradiction directe avec la principale critique formulée : https://9to5mac.com/2025/06/13/ios-26-passkeys-password-transfer/

Pour moi, la seule critique légitime qu'on peut adresser aux passkeys et à FIDO2, actuellement, est liée aux attestations qui permettent de faire un vendor lock-in en exigeant qu'on utilise un fournisseur spécifique... et je ne l'ai vu implémenté qu'en entreprise pour obliger les employé·es à utiliser les tokens hardware de la société. Donc pas un usage vraiment répréhensible par la morale.

  • Copy link
  • Flag this comment
  • Block
sebsauvage
@sebsauvage@framapiaf.org replied  ·  activity timestamp last month
@x_cli
Je suis très moyennement optimiste concernant l'interopérabilité promise par les GAFAM.
On sait très bien ce qu'ils ont fait de XMPP, RSS et autres. L'interopérabilité a toujours été *nuisible* à leur business model (sauf quand il s'agit de s'installer dans le paysage. Une fois installés, ils la torpillent.)
Je ne m'attends pas à mieux concernant les Passkeys.

@bortzmeyer @ParisWeb @kehrlann

  • Copy link
  • Flag this comment
  • Block
F. Maury ⏚
@x_cli@infosec.exchange replied  ·  activity timestamp last month
@sebsauvage
Je partage le constat, mais Google veut bien des clients Apple et Apple des clients Google. Sans solution interopérable, la migration des clients (et secondairement de leurs passkeys) n'est pas possible 😊 C'est donc dans leur intérêt, justement parce qu'il n'y a qu'un oligopole et pas un monopole 😅
La fin d'année 2025 nous dira s'il y a des raisons de s'inquiéter. Wait and see.
@bortzmeyer @ParisWeb @kehrlann
  • Copy link
  • Flag this comment
  • Block
Daniel Garnier-Moiroux
@kehrlann@hachyderm.io replied  ·  activity timestamp 4 weeks ago

Une autre critique: https://lucumr.pocoo.org/2025/9/2/passkeys/

Il critique aussi le lock-in, et il a un example précis: le gouvernement autrichien restreint les passkeys utilisables pour leur service d'identification, avec une allow-list. Fait notable, ce ne sont que des tokens physiques genre Yubikey. Pas possible avec Apple/Google puisqu'ils ne fournissent pas d'attestation.

Après, pour les utilisateur-ices qui n'utilisent pas de gestionnaire de mots de passe, qui ont un seul password utilisé partout... je vois un attrait aux passkeys.

@x_cli @sebsauvage @bortzmeyer @ParisWeb

  • Copy link
  • Flag this comment
  • Block
Paris Web
@ParisWeb@mamot.fr replied  ·  activity timestamp last month

Il est encore temps de s’inscrire : https://inscriptions.paris-web.fr/

  • Copy link
  • Flag this comment
  • Block
Log in

bonfire.cafe

A space for Bonfire maintainers and contributors to communicate

bonfire.cafe: About · Code of conduct · Privacy · Users · Instances
Bonfire social · 1.0.0-rc.3.1 no JS en
Automatic federation enabled
  • Explore
  • About
  • Members
  • Code of Conduct
Home
Login