Avec iOS 13.3, Safari prend en charge les clés d'authentification NFC, USB et Lightning
La deuxième bêta d'iOS 13.3 ouvre à Safari le support des clés d'authentification NFC, USB ou Lightning répondant au cahier des charges FIDO2. Cela signifie que l'on pourra s'identifier sur un site web depuis le navigateur d'Apple, avec des clés comme la récente YubiKey 5Ci dotée d'un connecteur Lightning. Cette clé fonctionne avec les principaux gestionnaires de mots de passe, dont 1Password et Dashlane, ainsi qu'avec les protocoles d'authentification Okta et XTN. Mais au rayon des navigateurs web, seul Brave était pris en charge.
Le support de Safari va permettre à cette clé, ainsi qu'à tous les produits du même genre, de gagner en intérêt sur la plateforme iOS. Une bonne nouvelle pour les fabricants de ces périphériques, mais aussi pour les utilisateurs qui cherchent une solution efficace pour le deuxième facteur de connexion à leurs services en ligne.
Excellente nouvelle !
Enfin un esprit d’ouverture d’Apple sur la sécurité
Il y a beaucoup de sites qui prennent en charge ce genre de clés ?
@shaba
Si ça fonctionne avec 1password j’imagine qu’il y en a pas mal oui, sûrement ceux où on peut enregistrer un Mdp tout simplement
@Hideyasu
Ok merci 😊
@Hideyasu
Cela n’a vraiment rien à voir avec le support du site en directe.
Le but est de sécuriser l’accès du site avec un double facteur physique (logon/pwd+ clef Fido) ou n’accepter que la clef.
Et d’empêcher l’accès en login/password seul ( brut force, leaks,keylogger)
@Sgt. Pepper
Ok, c’était une hypothèse merci de l’info
@shaba
Dans les sites grands publics, pas tant que ça pour l’instant, principalement Google, Facebook, Twitter et Dropbox.
Mais ça pourrait s’améliorer dans les années à venir.
@nayals
👍 merci
C'est une bonne nouvelle ca !
On peut donc dire que cette mise à jour apporte une meilleure sécurité à la clé ? 🤗
@dodomu
😂
Honnêtement je ne suis pas si sure d’une sécurité encore plus accrue avec ce type de sécurité et si on perd la clé où on nous l’a vole ?
Lastpass et Dash Lane proposent aussi ce type de solutions il me semble? Hummm🤔
La liste des Services compatibles avec la clef FIDO2👇
https://www.yubico.com/works-with-yubikey/catalog/
@scanmb
Il y a une master private key (matérielle) dans la Yubikey (et équivalent). Quand dans ton compte Google par exemple tu actives ta Yubikey comme 2e facteur, la Yubikey va générer un nombre aléatoire et dériver (avec sa master key) une autre clé privée, et une clé publique. La Yubikey va envoyer la clé publique et le nombre aléatoire à Google.
Ensuite, quand tu veux te login, Google envoie à ta clé le nombre aléatoire précédemment généré, ainsi qu’un « challenge » pour montrer qu’elle peut bel et bien régénérer la clé privée associée à la clé publique enregistrée.
Le principal intérêt est que ça empêche le phishing, car le navigateur envoie aussi à la clé le nom de domaine de la page que tu es en train de visiter. Donc pour google.fake.com, la clé verra que ça ne correspond à rien et ne donnera pas de credentials. Grosso modo.
@nayals
Non ce n’est pas exactement le protocol Web Authn.
Le site envoie un challenge (random) au browser qui appel la clef avec ce challenge et l’identifiant du site.
La clef signe directement avec la clef privée (associée au site) une concat de données générées par la clef et un hash des données reçues du browser (challenge,..).
Signature qui sera vérifié par le site avec la clef publique associée.
@Sgt. Pepper
On est d’accord, à ceci près que « la clé privée associée au site » n’est (généralement) pas stockée dans la clé (en tout cas pas dans le cas des Yubikey), d’où la génération d’un nombre aléatoire envoyé au site.
https://www.yubico.com/2014/11/yubicos-u2f-key-wrapping/
@nayals
Parce que tu mélanges l’ancienne norme U2F (ton post) avec FIDO2 (WebAuthn) qui le remplace.
La News concerne bien FIDO2.
J’aimerai aussi que mon iPhone serve de Clef FIDO2 🙏
Apple doit se bouger : Safari Techno Preview ( Dec 2018) a apporté des évolutions timides mais pas grand chose depuis 😩