F. Maury ⏚
@x_cli@infosec.exchange replied  ·  activity timestamp 7 days ago
@bortzmeyer @ParisWeb @kehrlann

Hello, oui, j'avais lu l'avis négatif de @sebsauvage et je ne le partage pas.

D'une part, contrairement aux mots de passe, il est possible d'enregistrer plusieurs token FIDO2 par compte. Cela n'aurait aucun sens d'avoir plusieirs mots de passe actifs pour un même compte.
Cette approche pragmatique de permettre plusieurs tokens vient du fait que FIDO2 est implémenté soit avec des passkeys (sauvegardables) soit avec des tokens hardware, et que ces derniers peuvent être perdus ; la redondance est donc bienvenue.

Incidemment, il est possible d'enregistrer plusieurs passkeys, et donc d'opérer une migration "manuellement" d'un fournisseur à l'autre. Ce n'est pas très pratique, mais possible.

Ensuite, FIDO travaille (certainement avec beaucoup trop de retard) à un standard interropérable d'import/export des passkeys :
https://fidoalliance.org/specifications-credential-exchange-specifications/

Enfin, les monopoles semblent se diriger dans la bonne voie, en contradiction directe avec la principale critique formulée : https://9to5mac.com/2025/06/13/ios-26-passkeys-password-transfer/

Pour moi, la seule critique légitime qu'on peut adresser aux passkeys et à FIDO2, actuellement, est liée aux attestations qui permettent de faire un vendor lock-in en exigeant qu'on utilise un fournisseur spécifique... et je ne l'ai vu implémenté qu'en entreprise pour obliger les employé·es à utiliser les tokens hardware de la société. Donc pas un usage vraiment répréhensible par la morale.
sebsauvage
@sebsauvage@framapiaf.org replied  ·  activity timestamp 7 days ago
@x_cli
Je suis très moyennement optimiste concernant l'interopérabilité promise par les GAFAM.
On sait très bien ce qu'ils ont fait de XMPP, RSS et autres. L'interopérabilité a toujours été *nuisible* à leur business model (sauf quand il s'agit de s'installer dans le paysage. Une fois installés, ils la torpillent.)
Je ne m'attends pas à mieux concernant les Passkeys.

@bortzmeyer @ParisWeb @kehrlann
F. Maury ⏚
@x_cli@infosec.exchange replied  ·  activity timestamp 7 days ago
@sebsauvage
Je partage le constat, mais Google veut bien des clients Apple et Apple des clients Google. Sans solution interopérable, la migration des clients (et secondairement de leurs passkeys) n'est pas possible 😊 C'est donc dans leur intérêt, justement parce qu'il n'y a qu'un oligopole et pas un monopole 😅
La fin d'année 2025 nous dira s'il y a des raisons de s'inquiéter. Wait and see.
@bortzmeyer @ParisWeb @kehrlann
Daniel Garnier-Moiroux
@kehrlann@hachyderm.io replied  ·  activity timestamp 2 days ago

Une autre critique: https://lucumr.pocoo.org/2025/9/2/passkeys/

Il critique aussi le lock-in, et il a un example précis: le gouvernement autrichien restreint les passkeys utilisables pour leur service d'identification, avec une allow-list. Fait notable, ce ne sont que des tokens physiques genre Yubikey. Pas possible avec Apple/Google puisqu'ils ne fournissent pas d'attestation.

Après, pour les utilisateur-ices qui n'utilisent pas de gestionnaire de mots de passe, qui ont un seul password utilisé partout... je vois un attrait aux passkeys.

@x_cli @sebsauvage @bortzmeyer @ParisWeb