OpenSezam

Trust Authentication

Qu’est ce que le passkey ?

Par gpaviaPublié le Publié dans Authentification, CIAM BtoC Authentication Customer Access, Cybersécurité

Sommaire

Pour comprendre ce qu’est un passkey, nous vous invitons à consulter le site de la FIDO Alliance qui dispose de la présentation publique, la plus exhaustive sur le sujet.

Définition du passkey, à partir de la définition fournie par FIDO Alliance

A savoir : Le mot passkey est un nom commun, de la même manière que vous feriez référence aux mots de passes. Il doit être écrit en minuscules, sauf au début d’une phrase ou utilisé dans un titre. Le terme passkey (et son pluriel passkeys) est un terme d’usage général multiplateforme, et non une fonctionnalité liée à une plateforme spécifique.

Le passekey, très souvent traduit en français par clé d’accès, est donc un identifiant d’authentification FIDO basé sur les normes FIDO, qui permet à un utilisateur de se connecter à des applications et à des sites Web avec le même processus qu’il utilise pour déverrouiller son appareil (biométrie, code PIN…).

Les clés d’accès sont des informations d’identification cryptographiques FIDO qui sont liées au compte d’un utilisateur sur un site Web ou une application. Avec les clés d’accès, les utilisateurs n’ont plus besoin de saisir de noms d’utilisateur et de mots de passe ou des facteurs supplémentaires. Au lieu de cela, un utilisateur approuve une connexion avec le même processus qu’il utilise pour déverrouiller son appareil (par exemple, biométrie, code PIN, modèle).

Selon la FIDO Alliance, le passkey fournit un modèle de sécurité amélioré par rapport à l’authentification traditionnelle par mot de passe et à l’authentification multifacteur en fonction de son utilisation (exemple : rattaché à un gestionnaire de mot de passe, il perd de son intérêt en matière de sécurité).

Toujours selon la FIDO Alliance, les clés d’accès seraient plus faciles à utiliser pour les utilisateurs et permettent d’augmenter de 20 % le nombre de connexions réussies par rapport aux mots de passe.

Vie privée : Avantages des passkey et plus globalement des clés cryptographie FIDO

Étant donné que les clés cryptographiques FIDO sont uniques pour chaque site Internet, elles ne peuvent pas être utilisées pour suivre les utilisateurs sur plusieurs sites. De plus, les données biométriques, lorsqu’elles sont utilisées, ne quittent jamais l’appareil de l’utilisateur.

Sécurité : Avantages des passkey et plus globalement des clés cryptographie FIDO

Les identifiants de connexion cryptographiques FIDO2 sont uniques sur chaque site Web, et par défaut ne quittent jamais l’appareil de l’utilisateur et ne sont jamais stockés sur un serveur. Ce modèle de sécurité élimine les risques de phishing, de vol de mot de passe et les attaques par rejeu.

Cette stratégie est aussi applicable aux applications Legacy grâce à la solution AuthSezam Smart Proxy qui est un système d’authentification déporté intégrant des services avancés pour moderniser et renforcer la sécurité.

Interopérabilité Web

Les sites Web peuvent activer FIDO2 via un appel d’API JavaScript pris en charge par les principaux navigateurs et plates-formes sur des milliards d’appareils que les consommateurs utilisent chaque jour.

Quelles sont les limites des passkey .

Pour réussir une adoption des passekeys, les entreprises doivent analyser leur environnement d’authentification, identifier les points de friction éventuels (comme les systèmes hérités ou les applications hors ligne) et étudier les solutions alternatives d’authentification adaptative dans les contextes non pris en charge. Une feuille de route d’adoption avec des solutions d’intégration est essentielle pour limiter ces incompatibilités.

Les passekeys, basées sur FIDO2 et les clés publiques, présentent des limites de compatibilité dans les contextes suivants :

  1. Systèmes et navigateurs obsolètes : incompatibles avec les OS et navigateurs non mis à jour
  2. Applications hors ligne : difficulté d’usage sans connexion pour la synchronisation des clés
  3. Écosystèmes propriétaires et IoT : incompatibles avec les systèmes fermés et les appareils sans biométrie
  4. Systèmes hérités : migration complexe depuis les solutions legacy
  5. Protocoles non-web : VPN, RDP et applications non compatibles avec le standard web des passekeys

Actions recommandées :

  • Cartographier les environnements non compatibles
  • Utilisez le proxy d’authentification déporté d’AuthSezam pour moderniser l’application et généraliser le déploiement du sans mot de passe de la solution AuthSezam qui propose des alternatives de connexion au Passpey (avec des possibilités de renforcement avec de l’authentification continue et adaptive au niveau de risque, et des IA de détection de fraude avancées)
  • Utilisez des bastions RDP, SSH déployés avec les infrastructures sécurisées AuthSezam
  • Concernant les ecosystèmes propriétaires, AuthSezam propose des déploiement On Premise ou Embarqué.

Est-ce que le passkey est une solution universelle ?

Par défaut non malgré ce que l’on pourrait penser. Bien que son usage va très rapidement être rependu, auprès des particuliers (grâce notamment aux grands industrielles qui collaborent au sein de la FIDO Alliance) son adoption et sa généralisation au sein de l’entreprise s’avère plus complexe.

Aujourd’hui, le passkey est donc essentiellement utilisé comme système complémentaire ou alternatif au MFA pour plus de confort utilisateur, mais ne supprime pas les risques liés aux mots de passe. Dans ce cas de figure, les entreprises doivent investir dans un centre de compétence pour ajouter une stratégie passkey sur ses services compatibles pour faciliter la connexion en proposant à l’utilisateur de ne pas utiliser son mot de passe. Observation : Cette approche ne permet pas d’éliminer les mots de passe et ne s’adresse qu’a des populations précises, capables d’activer le système. Comme pour l’application des recommandation de sécurité sur les mots de passe, une grande partie du protocole sera à la main de l’utilisateur et par conséquent peu, voir pas maitrisable.

Deux stratégies sont possibles pour accompagner la généralisation des technologies sans mots de passe, notamment par connexion cryptographiques FIDO2 (Authentification Forte) :

  • 1 / Développement de système sans mot de passe sur mesure : Dans ce scénario la DSI doint investir dans un centre de compétence Interne et/ou Externe pour créer et gérer un système d’authentification sans mot de passe de bout-en-bout qui permet de sécuriser l’accès aux applications. Observation : Cette stratégie peut s’avérer longue et couteuse en terme de maintenabilité et de généralisation dans le cadre des accès collaborateurs, de services règlementés ou des projets cross-plateforme.
  • Intégration de la solution AuthSezam qui est une solution d’authentification sans mot de passe universelle intégrant les technologie les plus avancées telles que FIDO2, ET qui ne nécessite aucune application à installer, ni matériel spécifique : Dans ce scénario la DSI s’appuie sur la solution AuthSezam qui est compatible passkeys, plug and play, qui embarque par essence le SSO, qui lui permet de généraliser le déploiement sur tout type d’application, dont des applications historiques, non compatibles Observation : Cette stratégie peut être déployée en quelques semaines et ne nécessite pas de connaissance approfondie dans le domaine de l’authentification. C’est une solution plug-and-play, simple à intégrer et à administrer, qui dispose de tableaux de bord dont les données peuvent être accessibles via API. Nos processus permettent l’intégration d’alerting, sms, chat… et une interopérabilité avec un SIEM.

Qu’est ce que le passkey ?
Retour en haut