‘Une Approche Holistique des Mécanismes d’Authentification
Explorant l’univers de la sécurité sur internet et des mécanismes d’authentification récemment, je me suis profondément penché sur les ‘credentials discoverables’, plus communément connues sous le nom de Clés Pass. Décrites dans la spécification d’Authentification Web (WebAuthn) par le W3C (World Wide Web Consortium), les Clés Pass sont nées de multiples initiatives, dont l’une comprend le travail de l’alliance Fast Identity Online (FIDO). Les Clés Pass présentent une approche potentiellement transformatrice pour renforcer la sécurité. Imaginez un monde où les Clés Pass remplaceraient les mots de passe traditionnels, neutralisant efficacement la fléau en pleine expansion du hameçonnage sur internet. Cependant, réaliser cette transition pourrait être moins simple qu’il n’y paraît au départ, et je vais exposer mes raisons sous peu.
Créer un système de sécurité qui équilibre élégamment la robustesse de la sécurité et l’accessibilité de l’utilisateur est un voyage sans fin, semé d’obstacles potentiels. Il est clair de mon exploration qu’une approche holistique de la sécurité est primordiale, avec une attention méticuleuse portée à l’interaction de l’utilisateur.
Le concept fondamental des Clés Pass est trompeusement simple : un utilisateur (ou plus probablement, son appareil) génère une paire de clés privée/publique unique pour chaque site web individuel, ne partageant que la clé publique avec le site en question. En utilisant une méthode distincte, comme un nom d’utilisateur et un mot de passe existants ou d’autres facteurs, l’utilisateur vérifie son identité auprès du site web. Le site web enregistre alors cette clé publique pour une utilisation ultérieure. Lors des visites ultérieures de l’utilisateur sur le site web, le site émet un défi d’authentification que l’utilisateur signe en utilisant sa clé privée stockée. Le site web utilise la clé publique stockée pour valider l’identité de l’utilisateur.’
