Fin des mots de passe
Publié : 04 nov. 2023 12:15
Fini la galére
l'utilisateur devra commencer par définir sur son smartphone par quel moyen il souhaite s'identifier avec son "passkey". Soit via un code PIN à plusieurs chiffres ou un motif à dessiner, soit via la biométrie, l'empreinte digitale ou la reconnaissance faciale. Ce procédé sera ensuite utilisé pour se connecter aux services en ligne sans avoir à saisir de mot de passe. Les sites Web demanderont simplement aux internautes s'ils souhaitent s'authentifier avec leur identifiant FIDO.
Au moment de l'inscription à un service en ligne, le smartphone crée deux clés chiffrées uniques, propre au service en question. La clé privée reste stockée sur l'appareil de l'utilisateur et la clé publique est partagée avec le gestionnaire du service. À chaque connexion, le service vérifiera que les deux clés correspondent bien. Mais la clé privée de l'utilisateur ne pourra être utilisée que s'il l'a déverrouillée sur son appareil par son code secret ou son empreinte biométrique. Ainsi, même en cas de fuite de données du côté de l'éditeur de l'application, les cybercriminels ne seront pas en mesure d'exploiter les clés publiques dérobées.
l'utilisateur devra commencer par définir sur son smartphone par quel moyen il souhaite s'identifier avec son "passkey". Soit via un code PIN à plusieurs chiffres ou un motif à dessiner, soit via la biométrie, l'empreinte digitale ou la reconnaissance faciale. Ce procédé sera ensuite utilisé pour se connecter aux services en ligne sans avoir à saisir de mot de passe. Les sites Web demanderont simplement aux internautes s'ils souhaitent s'authentifier avec leur identifiant FIDO.
Au moment de l'inscription à un service en ligne, le smartphone crée deux clés chiffrées uniques, propre au service en question. La clé privée reste stockée sur l'appareil de l'utilisateur et la clé publique est partagée avec le gestionnaire du service. À chaque connexion, le service vérifiera que les deux clés correspondent bien. Mais la clé privée de l'utilisateur ne pourra être utilisée que s'il l'a déverrouillée sur son appareil par son code secret ou son empreinte biométrique. Ainsi, même en cas de fuite de données du côté de l'éditeur de l'application, les cybercriminels ne seront pas en mesure d'exploiter les clés publiques dérobées.