almessadi.
Retour à l'index

Les Passkeys Réduisent le Phishing Mieux Que Les Mots de Passe Ne Pourront Jamais_

WebAuthn et les passkeys améliorent la sécurité de la connexion car ils remplacent les secrets partagés réutilisables par des informations d'identification basées sur des clés publiques liées à l'origine.

Publié25 août 2024
Temps de lecture4 min read
Tags
#Sécurité#Authentification#WebAuthn#Architecture

Les mots de passe échouent pour des raisons qui sont désormais structurelles, et non accidentelles.

Même un mot de passe bien haché reste un secret partagé. Si l'utilisateur le saisit sur la mauvaise page, l'attaquant gagne avant que votre backend n'ait la chance de prouver à quel point il stocke soigneusement les informations d'identification.

Les passkeys sont importants car ils modifient ce modèle.

Pourquoi WebAuthn Est Différent

Avec WebAuthn, le navigateur et l'authentificateur participent à un flux de clés publiques. Le serveur stocke une clé publique. L'appareil de l'utilisateur détient la clé privée. L'information d'identification est également liée à l'origine de la partie de confiance, ce qui rend le phishing beaucoup plus difficile.

Cela signifie qu'un faux domaine convaincant ne peut pas simplement tromper l'utilisateur pour qu'il révèle un secret réutilisable de la manière dont un flux de mot de passe le peut.

À Quoi Ressemble L'Inscription

À un niveau élevé :

  1. le serveur envoie un défi
  2. le navigateur demande à l'authentificateur de créer une information d'identification
  3. l'authentificateur renvoie des données de clé publique et des données d'attestation
  4. le serveur stocke les métadonnées de l'information d'identification

Lors de la connexion, le serveur envoie un nouveau défi et vérifie la réponse signée.

Ce Que Les Équipes Doivent Encore Concevoir

Les passkeys ne sont pas "la sécurité résolue". Les équipes ont toujours besoin de :

  • récupération de compte
  • attentes multi-appareils
  • une bonne expérience utilisateur pour la gestion des informations d'identification
  • des chemins de secours qui ne réintroduisent pas discrètement la faiblesse initiale

Cette dernière partie est là où beaucoup d'implémentations échouent. Un flux de passkey solide avec un flux de réinitialisation par email faible a encore un système de compte faible.

Meilleur Positionnement Produit

Le meilleur cadrage n'est pas "les mots de passe sont morts demain." C'est :

Les passkeys sont le chemin grand public le plus prometteur pour écarter les flux de connexion basés sur des secrets partagés sensibles au phishing.

C'est déjà un grand changement.

Lectures Complémentaires

Articles liés.

Poursuivez avec des articles proches sur le software engineering, l'architecture et les compromis d'implémentation.

WebAuthn améliore l'authentification. Les JWT ne décrivent que la forme de session.

WebAuthn et les JWT sont souvent comparés de manière incorrecte. WebAuthn sécurise la manière dont un utilisateur prouve son identité, tandis que les JWT sont un moyen de transporter l'état de la session par la suite.

18 févr. 2025

Cookies HttpOnly vs `localStorage` pour la Sécurité des Sessions Navigateur

Les tokens dans `localStorage` sont faciles à implémenter mais plus accessibles aux attaques XSS. Les cookies HttpOnly réduisent cette exposition, bien qu'ils nécessitent toujours une bonne conception CSRF et de session.

12 janv. 2025