le nouveau Passkey sur votre iPhone, iPad et Mac
Qu’est ce que Passkey
Passkey sur iPhone est un système de sécurité qui permet de protéger les données stockées sur l’appareil en demandant un code de sécurité pour déverrouiller l’appareil. Ce code de sécurité, également appelé code PIN, peut être un code numérique à 4 ou 6 chiffres ou un code alphanumérique personnalisé. Il est utilisé pour empêcher l’accès non autorisé à l’appareil et peut également être utilisé pour chiffrer les données stockées sur l’appareil. Il est important de choisir un code de sécurité fort et de ne pas le partager avec des tiers pour protéger les données de l’appareil.
Passkey est le nom d’Apple pour un processus de connexion simplifié aux sites Web qui arrivera dans toute sa splendeur plus tard cette année avec macOS 13 Ventura, iOS 16 et iPadOS 16. Une clé de passe s’appuie sur des normes industrielles largement prises en charge pour vous permettre d’effectuer une connexion cryptée. avec presque aucun effort de votre part après la configuration initiale.
Vous pouvez essayer un mot de passe sans installer les versions bêta publiques de ces systèmes d’exploitation à venir, car Apple a intégré la prise en charge des mots de passe sous forme d’aperçu dans Safari sur tous ses systèmes d’exploitation sous iOS 15, iPadOS 15 et Safari 15 avec macOS 12 Monterey.
Avec la sortie complète des clés de sécurité dans quelques semaines ou quelques mois, et la prise en charge annoncée par Google et Microsoft des technologies compatibles, vous verrez probablement des options pour ajouter une connexion par clé de sécurité sur de nombreux sites Web cet automne.
Voici comment le processus fonctionne :
S’inscrire sur un site Web
Une clé de passe comprend un ensemble apparié de clés de cryptage, généralement connu sous le nom de cryptographie à clé publique. Lorsque vous visitez un serveur qui prend en charge WebAuthn (la technologie requise pour accepter, stocker et interagir avec un mot de passe), votre navigateur présentera la clé publique de la paire de chiffrement. La clé publique ne peut pas être utilisée pour se connecter mais plutôt pour prouver votre identité : vous possédez la clé privée, qui est créée sur votre appareil et ne la quitte jamais pour une connexion.
Pour vous inscrire, vous visitez un site Web qui offre un support de clé de passe. Un site peut déclarer qu’il prend en charge les clés d’accès de manière générique, dire qu’il prend en charge WebAuthn ou déclarer qu’il est compatible avec FIDO2, CTAP ou « informations d’identification FIDO multi-appareils ». Tous ces termes devraient signifier que vous pouvez utiliser un mot de passe Apple (ou Google ou Microsoft) comme identifiant de connexion. (FIDO2 est le nom donné par le groupe commercial FIDO Alliance, un élément clé de la réalisation des clés de sécurité et de WebAuthn, et dont Apple, Microsoft et Google sont membres.)
Le processus fonctionnera de manière très similaire lorsque vous vous inscrivez sur un site pour l’authentification à deux facteurs (2FA) ou si vous avez déjà utilisé une clé matérielle pour WebAuthn, comme celles faites par Yubico :
- Connectez-vous en utilisant votre nom d’utilisateur et votre mot de passe existants.
- Le site peut vous demander une vérification supplémentaire. Il peut s’agir d’un lien envoyé par e-mail, d’un code SMS ou d’une invite pour un accusé de réception 2FA avec un code ou via une application que vous avez déjà installée sur votre iPhone ou iPad.
- La section de sécurité du site vous permet de choisir d’utiliser un mot de passe ou l’un des autres noms ci-dessus.
- Le serveur Web envoie une demande à votre navigateur pour fournir des informations de cryptage.
- Vous êtes invité à approuver cette demande avec Touch ID, Face ID ou le mot de passe de votre appareil, selon ce qui est disponible et activé.
- Si vous validez avec succès votre identité, votre appareil génère la paire de clés publique/privée. La clé privée est stockée sur votre appareil et n’est jamais envoyée au site distant.
- Votre navigateur envoie la clé publique avec un message signé cryptographiquement que le serveur peut valider à l’aide de la clé publique fournie : seule une personne dont l’appareil détient la clé privée peut produire un message vérifiable.
- Le serveur web stocke votre clé publique pour vos futures connexions.
La configuration d’une connexion par clé d’accès peut désactiver 2FA sur votre compte ou vous permettre d’opter pour une connexion par clé d’accès au lieu d’une voie 2FA. Une clé d’accès fournit la preuve de la possession à la fois d’un secret et de l’appareil sur lequel il est stocké, en fait deux facteurs. (Certains sites et services hautement sécurisés peuvent encore nécessiter 2FA au lieu ou en plus d’un mot de passe.)
Vous pouvez voir le processus de clé de passe à l’œuvre avec certaines des pièces techniques sous-jacentes exposées sur Webauthn.me, un site créé par Auth0, un fournisseur de services d’authentification. Certains sites de production proposent actuellement des connexions compatibles avec les clés d’accès, mais elles sont assez peu nombreuses pour le moment. Vous pouvez configurer un compte Google ou Dropbox pour utiliser une « clé de sécurité » et utiliser un mot de passe à la place. Voir ci-dessous pour mon expérience avec cela.
Connectez-vous avec un mot de passe
Sur un site inscrit, vous pouvez utiliser une clé d’accès stockée la prochaine fois que vous devez vous connecter. Vous avez peut-être remarqué que de nombreux sites Web ont commencé à séparer la soumission du nom d’utilisateur ou de l’e-mail du compte d’une soumission de mot de passe – qui semble être une préparation pour les clés d’accès. .
Avec un site entièrement prêt pour les clés d’accès, vous appuyez ou cliquez dans un champ de nom d’utilisateur ou d’e-mail de compte et vous êtes invité par Safari à valider une connexion par clé d’accès. Dans certains cas, Safari peut d’abord vous demander si vous souhaitez autoriser les connexions Touch ID ou « clé de sécurité » sur le site ; Cliquez sur Permettre continuer. Ensuite, vous pouvez vous authentifier via Touch ID, Face ID ou le mot de passe de votre appareil, comme lors de l’inscription. C’est ça! En utilisant le site Webauthn.me mentionné ci-dessus, vous pouvez le tester à l’étape 4 de son processus.
Avec certains sites qui prennent en charge WebAuthn mais qui ne sont pas encore entièrement alignés sur le processus de clé d’authentification simplifié, vous pouvez être invité à effectuer une connexion normale avec nom d’utilisateur et mot de passe. avant de le site lance la séquence qui demande à votre navigateur un mot de passe.
J’ai pu m’inscrire avec un mot de passe chez Dropbox en choisissant l’option Clé de sécurité et en suivant les invites dans Safari pour macOS. (Lorsque vous êtes connecté à Dropbox via Safari, cliquez sur votre avatar dans le coin supérieur droit, cliquez sur le Sécurité lien, et cliquez Ajouter à côté de « Clés de sécurité ». Lorsqu’il vous demande si vous avez inséré la clé, confirmez que vous l’avez fait.)
Les connexions suivantes ont fonctionné dans Safari pour macOS mais pas dans Safari pour iOS, probablement en raison d’un manque de prise en charge de la synchronisation iCloud Keychain avant la sortie des nouveaux systèmes d’exploitation. Dans iOS 16, iPadOS 15 et Ventura, avec le trousseau iCloud activé, les clés de passe seront synchronisées et répertoriées dans Réglages > Mots de passe sous iOS/iPadOS et Les paramètres du système > Mots de passe à Ventura.
Apple vous permettra de partager des clés d’accès avec d’autres utilisateurs Apple en les envoyant en toute sécurité via AirDrop. Cela partagera à la fois la clé publique et la clé privée et donnera aux utilisateurs le même degré d’accès au compte que si vous leur aviez donné le nom d’utilisateur, le mot de passe et le jeton à deux facteurs pour votre compte.
Connexion à partir d’autres appareils
Certains sites vous permettent de spécifier une connexion par clé d’accès comme seule méthode d’accès. Et si vous essayez de vous connecter à partir d’un appareil sur lequel votre mot de passe n’est pas stocké, comme un ordinateur commun ou familial, un appareil au travail ou un appareil auquel vous avez accès en voyage ? Ou vous devez utiliser un système Windows ou un téléphone Android pour accéder à un site en raison de fonctionnalités spécifiques à ces plateformes ? Apple a démontré une approche intelligente dans son introduction aux clés de passe lors de la conférence mondiale des développeurs 2022 qui nécessite un code QR et Bluetooth.
Le processus fonctionne comme ceci :
- Sur un appareil doté d’un système d’exploitation ou d’un navigateur suffisamment récent pour prendre en charge les connexions WebAuthn, lorsque vous entrez votre nom de compte sur un site Web avec lequel vous utilisez un mot de passe.
- Le site demandera au navigateur un mot de passe et le navigateur découvrira qu’il n’en a pas. Vous pouvez ensuite cliquer pour fournir un mot de passe via un proxy, par exemple en cliquant sur « Ajouter un nouveau téléphone ».
- Le site envoie une requête qui amène le navigateur à afficher un code QR.
- Sur votre iPhone ou iPad, vous scannez le code QR et appuyez sur l’invite « Se connecter avec un mot de passe ».
- Sur votre appareil, cliquez sur Continuer puis approuvez la connexion avec Touch ID, Face ID ou le mot de passe de votre appareil.
- Le navigateur indique que vous êtes connecté.
Au cours de ce processus, l’appareil sur lequel le QR Code est affiché et votre iPhone ou iPad établissent discrètement une connexion via Bluetooth et échangent des informations clés. Cela permet à votre appareil d’avoir l’assurance que la connexion se fait à l’aide d’un équipement à proximité pour empêcher les attaques à distance, et le backchannel Bluetooth est un canal crypté séparé de la connexion du navigateur, évitant les attaques de phishing qui présentent de fausses connexions.
Une fois que vous avez authentifié votre connexion sur cet autre appareil, votre session se déroule normalement. Assurez-vous et déconnectez-vous lorsque vous avez terminé pour effacer l’état.
L’avenir est passe-partout
La simplicité des clés de sécurité cache la sophistication. Pour une fois, nous bénéficions à la fois de la facilité, de l’absence de frais généraux pour gérer le processus et du niveau de sécurité le plus élevé possible. Chaque connexion est unique, stockée pour vous et vérifiée dans les deux sens (par votre appareil et par le site) pour garantir que seule la personne ayant accès à votre appareil peut se connecter au site.