Le W3C approuve WebAuthn, une nouvelle norme d'authentification pour les connexions sans mot de passe

Si vous vous souciez de vous souvenir ou de créer des mots de passe forts, vous allez adorer que le World Wide Web Consortium (W3C) ait approuvé hier l'authentification Web (WebAuthn), une nouvelle norme d'authentification pour les connexions sans mot de passe qui est déjà prise en charge par les principaux navigateurs..

Selon l'annonce, la spécification WebAuthn est désormais une norme Web officielle.

WebAuthn permet aux utilisateurs de se connecter à des comptes Internet avec leur appareil préféré. Il tire parti d'un protocole appelé Client to Authenticator Protocol (CTAP2), également appelé FIDO2, qui est utilisé pour générer des paires de clés cryptographiques privées et publiques pour l'authentification sur un site Web..

Le communiqué de presse répertorie les principales fonctionnalités suivantes de WebAuthn:

  • Sécurité: Les identifiants de connexion cryptographiques FIDO2 sont uniques sur tous les sites Web, la biométrie ou d'autres secrets comme les mots de passe ne quittent jamais l'appareil de l'utilisateur et ne sont jamais stockés sur un serveur. Ce modèle de sécurité élimine les risques de phishing, toutes les formes de vol de mot de passe et les attaques par rejeu.
  • Commodité: Les utilisateurs se connectent avec des méthodes pratiques telles que des lecteurs d'empreintes digitales, des caméras, des clés de sécurité FIDO ou leur appareil mobile personnel.
  • Intimité: Les clés FIDO étant uniques pour chaque site Internet, elles ne peuvent pas être utilisées pour vous suivre sur plusieurs sites.
  • Évolutivité: Les sites Web peuvent activer FIDO2 via un simple appel d'API sur tous les navigateurs et plates-formes pris en charge sur des milliards d'appareils que les consommateurs utilisent chaque jour.

En d'autres termes, WebAuthn pourrait protéger les utilisateurs contre les brèches ou les attaques de phishing.

Pour commencer, il est beaucoup plus sûr que les mots de passe faibles que beaucoup de gens utilisent pour protéger leurs comptes en ligne ou ces codes d'accès uniques qui peuvent être interceptés. Avec WebAuthn, un attaquant armé d'un mot de passe correct aurait également besoin d'un accès physique à votre clé de sécurité physique ou à votre appareil mobile avec les fonctions biométriques prises en charge avant d'avoir accès.

DIDACTICIEL: Comment afficher, rechercher et modifier les mots de passe Safari

WebAuthn est actuellement pris en charge dans les navigateurs Web Chrome, Firefox, Edge et Safari, ainsi que dans Windows 10 et Android. La prise en charge de Safari est apparue pour la première fois dans la version 71 d'Apple Safari Technology Preview, qui a été diffusée aux développeurs le 5 décembre..

WebAuthn devrait fonctionner avec les appareils Yubico.

Yubico produit des clés de sécurité physiques basées sur NFC pour une connexion sans mot de passe et une authentification à deux facteurs. En janvier, la société a publié sa première clé de sécurité physique approuvée par Apple qui fonctionne à la fois avec les appareils iOS basés sur Lightning et les Mac dotés d'un port USB-C.

YubiKey, la toute première clé de sécurité physique approuvée par Apple, fonctionne avec les appareils iOS et macOS.

Les produits de clé de sécurité NFC existants de Yubico fonctionnent prêts à l'emploi avec des centaines de services Web qui prennent en charge les protocoles d'authentification FIDO U2F et FIDO2.

WebAuthn et les protocoles d'authentification FIDO2 / FIDO U2F sont déjà pris en charge par Dropbox, Facebook, GitHub, Salesforce, Stripe et Twitter, et d'autres sites Web populaires devraient intégrer la prise en charge de ces normes dans les mois à venir..