Accueil » Actualités » Un nouveau standard web qui ne nécessite pas de mot de passe : WebAuthn

Un nouveau standard web qui ne nécessite pas de mot de passe : WebAuthn

Par Emmanuel

Va-t-on assister à la mort imminente du mot de passe sur le web ? On peut le penser dans la mesure où un nouveau standard web vient d’être officialisé : il s’agit de WebAuthn. Le dispositif fait partie de la technologie FIDO2, qui permet donc aux usagers de pouvoir se connecter à différents services du net sans mot de passe.

Vers la fin du mot de passe pour les connexions internet ?

Voici un nouveau standard web qui vient d’être officialisé par le consortium W3C : il s’agit de WebAuthn (pour Web Authentication). Ce dispositif est une API, qui renforce les dispositifs d’authentification sur le web grâce à la technologie FIDO2. On s’oriente alors vers une simplification des connexions web.
Il s’agit donc de ne plus utiliser les mots de passe pour aller sur des applications ou des sites internet. Afin d’y parvenir, plusieurs protocoles cryptographiques ont été mis en place. En premier lieu, c’est à l’usager de choisir un « système authentificateur ».
Par exemple, il peut s’agir d’un lecteur d’empreinte de mobile ou d’un dispositif de reconnaissance faciale d’un PC portable. Dans un second temps, cet « authentificateur » va concevoir une clé publique mais aussi une clé privée, avec chacune un usage spécifique.

WebAuthn : des atouts non négligeables

La première clé sera destinée au service web pour un stockage au sein de la base de données. Quant à la deuxième clé, elle sera dédiée à un stockage local. C’est donc par ce biais-là que l’internaute pourra se passer de mot de passe, en sollicitant son système authentificateur pour se connecter directement.
Il faudra alors poser tout simplement son doigt sur le lecteur d’empreintes ou visualiser son dispositif de reconnaissance faciale, et le tour est joué. Avec un tel système, les avantages sont pluriels : ainsi, les identifiants ne peuvent plus fuiter.
De même, il est plus difficile d’usurper l’identité d’un usager, car la technologie mise en place est très efficiente face aux attaques d’interception comme celles dénommées Man-in-the Middle. Enfin, les attaques de phishing sont rendues beaucoup plus difficiles, le nom de domaine du site étant lié aux clés générées par FIDO2.

Vous aimerez aussi

S’abonner
Notifier de
guest
0 Commentaires
Commentaires en ligne
Voir tous les commentaires
0
Nous serions ravis d'avoir votre avis, laissez un commentaire !x