Le mot de passe traditionnel vit peut-être ses dernières heures puisque le W3C a enfin validé le standard WebAuthn qui propose de remplacer le mot de passe par authentification de type biométrique, un smartphone, une tablette ou même une clé USB sécurisée.
La FIDO Alliance, à l’origine du projet, s’est félicitée de cette adoption car elle estime que la protection par mot de passe est désormais obsolète. « Il est de notoriété publique que les mots de passe ne sont plus efficaces » peut-on lire dans le communiqué publié par les deux organismes. « Non seulement les mots de passe volés, faibles ou par défaut sont à l’origine de 81% des atteintes à la sécurité des données, mais ils représentent également une perte de temps et de ressources. »
Au total, les employés passeraient près de 11 heures par an à saisir ou réinitialiser leurs mots de passe, coûtant en moyenne plus de cinq millions de dollars par an aux entreprises.
Reste désormais à ce que les systèmes d’exploitation et les navigateurs prennent en charge ce nouveau standard, et la bonne nouvelle, c’est que Chrome, Firefox, Edge et Safari avaient anticipé cette annonce et ils sont prêts à abandonner le mot de passe au profit de la reconnaissance faciale ou tactile.
L’Alliance FIDO (Fast IDentity Online), consortium industriel dédié à l’authentification forte, et le World Wide Web Consortium (W3C), organisation chargée des standards du Web, ont annoncé en avril dernier le lancement du projet FIDO2 qui regroupe plusieurs initiatives.
Il s’appuie sur la spécification d’authentification Web (WebAuthn) du W3C et sur le protocole CTAP (Client-to-Authenticator Protocol) de l’Alliance FIDO. Par ailleurs, FIDO2 complète d’autres spécifications existantes de l’Alliance : l’authentification sans mot de passe UAF (Universal Authentication Framework) et l’authentification à deux facteurs U2F (Universal Second Factor). Le consortium précise que les navigateurs web et les services en ligne FIDO2 sont « rétrocompatibles » avec toutes les clés de sécurité FIDO certifiées précédemment.
Google, Microsoft et Mozilla se sont déjà engagés à intégrer la norme WebAuthn dans leurs navigateurs respectifs (Chrome, Edge, Firefox). Et à la déployer progressivement dans leurs OS (Android et Windows 10 notamment, avec un support intégré).
Bien évidemment, il faut aussi que les serveurs, à l’autre bout de la chaîne, soient prêts pour cette bascule.
Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…
Ivès, expert en accessibilité de la surdité, s’est associé à Sopra Steria et à IBM…
L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…
Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…
La banque d’investissement utilise l'IA pour proposer des stratégies individualisées, en termes de rendement et…
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…