Oubliez les mots de passe : vous aurez bientôt un autre moyen de vous connecter à des sites Web qui rendront vos comptes moins vulnérables.
Les navigateurs Web ont trouvé une nouvelle façon de vous connecter, et celle-ci a été annoncée aujourd’hui par les organismes de normalisation W3C et FIDO Alliance. Appelé WebAuthn, le nouveau standard ouvert est actuellement pris en charge dans la dernière version de Firefox, et sera pris en charge dans les prochaines versions de Chrome et Edge dont la sortie est prévue pour les prochains mois.
WebAuthn attendait depuis près de deux ans une approbation de la part du W3C, mais il s’agit aujourd’hui de la première annonce majeure de support du navigateur. Apple n’a pas commenté le support de Safari pour WebAuthn, bien que la société fasse partie du groupe de travail qui a développé la norme.
L’annonce d’aujourd’hui constitue la dernière étape d’un effort de longue haleine visant à éloigner les utilisateurs des mots de passe et à adopter des méthodes de connexion plus sécurisées, telles que la biométrie et les tokens USB. Le système est déjà en place sur les principaux services comme Google et Facebook, où vous pouvez vous connecter en utilisant un jeton Yubikey mis au point selon la norme FIDO.
WebAuthn facilitera la mise en œuvre de cette fonctionnalité pour les services plus petits, qu’il s’agisse d’utiliser ces appareils en tant que second facteur ou de remplacer entièrement le mot de passe. À mesure que davantage de code open-source est développé pour les nouvelles normes, il devient plus facile pour les développeurs d’implémenter ces connexions, ce qui peut conduire à davantage de connexions sans mot de passe sur le Web.
«Auparavant, le travail de prise en charge des tokens se produisait parmi les grandes entreprises comme Google, Microsoft et Facebook, qui implémentaient leurs propres pilotes», explique Selena Deckelmann, qui a travaillé sur la mise en œuvre de Firefox. « Avec WebAuthn, vous serez en mesure d’utiliser les bibliothèques couramment disponibles. »
Étant donné que la norme FIDO est basée sur une preuve de connaissance zéro, aucune chaîne de caractères ne garantit l’accès à un compte, ce qui rend beaucoup plus difficile une attaque de phishing conventionnelle. Ces connexions sont encore rares, même sur les services où elles sont disponibles, elles constituent un moyen important pour les utilisateurs et les entreprises soucieux de la sécurité de se protéger. Et au fur et à mesure que davantage de services se prendront en charge les connexions plus fortes, la population d’utilisateurs prêts pour FIDO ne fera que croître.
« Ce que cela permet vraiment, c’est de passer de l’utilisation de mots de passe à l’utilisation d’un appareil, et de parvenir à un monde où il est impossible d’hameçonner les utilisateurs », explique Deckelmann. « Nous n’en sommes pas encore là. C’est notre futur idéal. Mais c’est le chemin que nous voulons tous adopter. «
