Amazon lance les passkeys sur iOS et sur le web
Amazon déploie à grande échelle l'identification à son site avec des passkeys. Cela commence par l'app iOS ainsi que depuis le web. L'app Android suivra ultérieurement.
L'activation du passkey (ou "Clé de passe" ou encore "clé d'identification", Amazon alterne entre ces deux terminologies) permet ensuite de s'identifier sans avoir à décliner son mot de passe de compte Amazon. On utilisera la fonction biométrique de son téléphone (Face ID/Touch ID) ou le code/mot de passe de déverrouillage de son ordinateur ou smartphone.
C’est quoi, les passkeys ?
Pour activer cette fonction, vous pouvez passer par l'app iOS d'Amazon (ça n'a pas fonctionné chez nous) ou depuis le site web. Il faut aller dans ses réglages de compte puis dans la section "Paramètres du compte" et "Changer email, mobile et mot de passe". Là, une nouvelle option "Clé de passe"/"Clé d'identification" est proposée.
L'activation depuis l'interface web a cette fois fonctionné. C'est ensuite, lors d'une réidentification, que le choix d'utiliser le passkey n'a pas marché et qu'il a fallu saisir le mot de passe comme avant. La deuxième tentative fut la bonne. Le système est en train de se mettre en place…
TikTok est le premier réseau social majeur à adopter les passkeys
Pas disponible chez moi sur l’application iOS
@Pat4e5
Normal, ça se configure par navigateur.
@Sindanarie
Non pas normal car "Pour activer cette fonction, vous pouvez passer par l'app iOS d'Amazon (ça n'a pas fonctionné chez nous) ou depuis le site web."
@Pat4e5
La configuration fonctionne par safari, ça bug par l’app.
Une fois fait l’application est paramètree automatiquement
Dispo chez moi, via l’application mais….une fois que j’accepte et tout ça plante, peut être que côté serveurs ce n’est pas actif 🤷🏻♂️
@Darkgam3rz
Non il faut le faire par safari sur iOS, là ça fonctionne. Par l’application ça plante ou affiche un message d’erreur.
Une fois fait par safari, cela se répercute automatiquement dans l’app dédiée
Bientôt disponible sur AWS 🤩
Faut passer par le site internet. Ça marche direct.
Je sais pas pour vous mais moi quand je me connecte avec le passkey, il demande toujours le mot de passe OTP si on a le 2FA activé.
@BigBen_082
Lu chez Amazon :
Utiliser des clés d'identification avec vérification en deux étapes :
Si vous avez activé la validation en deux étapes et que vous avez utilisé une clé d'accès au lieu d'un mot de passe pour vous connecter, vous devrez tout de même vérifier un code à usage unique après vous être connecté avec la clé d'accès.
@cricri13009
Ah bien vu, contrairement à moi. :D
Une fois la passkey créée on peut désactiver l’usage du mot de passe ou il sera toujours possible de s’authentifier avec ?
@Y.I
Si pas possible via faceid, il demande alors le mot de passe, plus l’otp généré dans « mots de passe » d’iCloud.
@Sindanarie
Merci de l’info c fait ✅
Bizarre, j’ai créé la mienne le 17 septembre
À moins que la fonctionnalité ne fut en bêta jusqu’à maintenant ?
edit: passkeys.directory indique que c’est en place depuis mars dernier…
je ne vois pas encore l’intérêt. Actuellement si je me connecte via Safari je n’ai pas à entrer de mot de passe, tout se fait via Face ID.
@Gravoche67
À terme l’intérêt c’est de faire disparaître le mot de passe.
Donc un jour l’option « se connecter avec un mot de passe » deviendra optionnelle avant de totalement disparaître.
Pour plus de sécurité.
Aujourd’hui c’est juste un « test »
@Nico_Belgium
Absolument !
Ce procédé devrait être la règle partout. Vivement la fin des mots de passe.
@Nico_Belgium
Je vois bien l’avantage. Cependant, il semblerait que l’on puisse perdre son accès bien plus rapidement.
Disons par exemple que ce passkey soit sur ios. Quand je veux me connecter depuis un autre ordinateur, je fais comment si plus de mot de passe ?
Et si je perds mon iPhone, ou qu’il est en mille morceaux ? On fait quoi ?
Ça semble poser beaucoup plus de problème que ça n’apporte de sécurité.
Mais j’ai sûrement très mal compris des passkey. En revanche, c’est le sentiment que j’avais eu.
@Sillage
- si tu veux te connecter avec un ordinateur, le site web affiche un QR code que tu peux scanner avec ton iPhone => l’iPhone autorise la connexion et tu te connecte
- si tu détruit ton iPhone, l’idée est surtout de stocker ce passkey sur un gestionnaire (1password / iCloud / ..) afin d’en conserver une copie sinon effectivement tu seras embêté 😅
La clé peut être partagée entre plusieurs appareils via ce type de gestionnaire. Mais elle ne peut (encore?) être partagée entre plusieurs services. Donc si par exemple tu es sur iOS mais que tu veux créer un passkey android, tu dois te connecter via ton gestionnaire iOS avec le qr code, et générer une nouvelle passkey sur l’appareil sur lequel se trouve le gestionnaire sur lesuel tu veux la sauver.
@Nico_Belgium
Je n’arrive pas à voir l’utilité
@macosZ
L’utilité c’est que c’est plus compliqué à voler / pirater si le mot de passe n’existe pas. Donc c’est plus sécurisé.
@Nico_Belgium
Je n’arrive pas à voir l’utilité par rapport au trousseau
@macosZ
Encore une fois, un mot de passe, stocké dans le trousseau ou pas, ça se vole 🙂 il suffit qu’un site ne protège pas bien les accès vers les mots de passe et soit piraté pour qu’il soit récupéré et dupliqué à l’infini par les pirates sans même que tu le sache.
Le passkey, c’est: tu as un morceau (la clé), le site a un autre morceau (la serrure), et l’un nécessite l’autre pour déverrouiller ton compte. Donc on ne peut pas dupliquer la clé. C’est donc plus sécurisé.
@Nico_Belgium
Ok.
Mais du coup le passkey est stocké chez Amazon ? Ou il faut un créer un sur chaque device ?
@macosZ
Amazon a juste la serrure. La clé est générée et utilisée par ton gestionnaire de mot de passe.
Il faut donc en utiliser un. Comme 1password ou iCloud.
Si tu synchronise tes mots de passe sur le trousseau iCloud, la clé est automatiquement synchronisée entre tous tes devices.
@Nico_Belgium
Ah ok merci des infos 👍
@macosZ
De rien 😊
@Nico_Belgium
Donc si on a besoin d’un gestionnaire, disons pas d’accès à iCloud, on doit se farcir une solution sur abonnement pour pouvoir accéder à nos sites ?
Existe-il des gestionnaires gratuits ? Est-ce que Bitwarden permet le stockage de ces passkeys ?
@Sillage
Ça j’avoue que je ne sais pas 🙂 je sais que 1password gère les passkey, le trousseau iCloud aussi.
Je ne connais pas les autres gestionnaires en revanche ou qui les propose ^_^
@Sillage
Bitwarden le fait très certainement. Sinon il y’a des app pour stocker les passkey chez Google et crosoft, j’ai pas les noms en tête.
@Nico_Belgium
« Encore une fois, un mot de passe, stocké dans le trousseau ou pas, ça se vole 🙂 il suffit qu’un site ne protège pas bien les accès vers les mots de passe et soit piraté pour qu’il soit récupéré et dupliqué à l’infini par les pirates sans même que tu le sache. »
Avec un système 2FA, le mot de passe seul n’est pas très utile. Mais oui, en effet. Dans ce cas de figure.
En parlant de dupliqué à l’infini dans qu’on le sache, ben c’est une donnée en clair. En quoi un passkey ne pourrait pas être similaire à ça ?
Je comprends qu’un passkey se stocke. Donc il est quelque part. Et surtout si dans un trousseau synchronisé, alors il peut être récupéré ailleurs. Non ?
« Le passkey, c’est: tu as un morceau (la clé), le site a un autre morceau (la serrure), et l’un nécessite l’autre pour déverrouiller ton compte. Donc on ne peut pas dupliquer la clé. C’est donc plus sécurisé. »
Je ne sais plus si c’est le bon terme, mais il y a des fonctions « univoques », donc on peut calculer dans un sens pour trouver toujours le même résultat, mais pas dans l’autre sens.
Est-ce que les passkey jouent un peu sur ce principe ?
J’imagine que la clé et la serrure doivent être générés en même temps pour fonctionner ensemble.
Et si quelqu’un pirate mon PC. Pourrait-il avoir accès à mes passkey ?
@Sillage
Ce sont des questions intéressantes.
Je ne sais pas pour les autres gestionnaires, mais iCloud protège la synchronisation de son trousseau avec un chiffrement fort. Donc le risque de vol de la clé privée semble peu probable lors de la synchronisation.
Lorsqu’on s’authentifie, la clé n’est jamais envoyée au site web. Le site envoie un challenge à ton appareil, et lui le résous grâce à sa clé privée. Ce qui génère un token qui permet d’accéder au site.
=> donc pas de vol de la clé possible de cette façon là non plus.
En cas de piratage de ton ordinateur, il y a une couche de sécurité supplémentaire qui est l’authentification biométrique qui est le dernier rempart pour déverrouiller ta clé privée et générer le token. Donc même si un malandrin arrivait à te la voler, sans l’authentification biométrique, il est peu probable qu’il arrive à en faire quoi que ce soit.
Aucun système n’est parfait. Celui ci a certainement ses failles aussi. Mais ça semble nettement plus sûr qu’un mot de passe et plus simple à utiliser que le 2FA
@Nico_Belgium
Donc les passkey sont sauvegardés sur iCloud ? Si tu perd mon iPhone j’aurai toujours accès sur l’iPad ou sur le site web iCloud ?
@macbook60
Sur l’iPad, oui. Ou sur tout autre appareil Apple connecte sur le même compte iCloud. Par contre Sur iCloud.com non je ne pense pas.
@Nico_Belgium
Ok merci j’adhère à passkey déjà je trouve cool connexion avec Apple et mot de passe suggéré
@macbook60
Édit: pas le bon message
@Sillage
"Et si je perds mon iPhone, ou qu’il est en mille morceaux ? On fait quoi ?"
C’est conservé dans Trousseau iCloud. Un nouvel iPhone, réinstalle la dernière sauvegarde iCloud et hop
@Sindanarie
Pour ça, il faut utiliser le trousseau. Et ceci est verrouillé uniquement au monde Apple. Quand on est multi plateforme, c’est assez ennuyeux.
Et le temps que l’on récupère un iPhone, on a accès à plus rien. Pas top je dirais.
Je voyage beaucoup, et c’est iPhone et laptop sous Windows. Pas de Mac.
Je suis comme vous et je me demande l'intérêt quand on est multiplateforme? Un mot de passe ben je le rentre quand je veux, sur la plateforme que je veux. Là on "t'oblige" à lier tes accès à une plateforme voire un appareil... c'est vraiment très moyen. Et je suis comme vous en voyage, et j'ai pas toujours deux appareils Apple sur moi... Perso pour l'intant ça ressemble à une fausse bonne idée...
@Glop0606
« Perso pour l'intant ça ressemble à une fausse bonne idée... »
Ouais, c’est un peu comme ça que je le vois. À voir comment ça va se développer.
Il y a certainement un grande méconnaissance du truc de ma part. J’avoue ne pas m’y être trop intéressé non-plus, mais je suis plutôt bien demerde en général. Et là, j’avoue que ce n’est pas vraiment user-friendly.
« Et je suis comme vous en voyage, et j'ai pas toujours deux appareils Apple sur moi... »
Ça, c’est justement le truc de fou. Apple préfère avoir les gens de trimbaler avec deux appareils Apple (iPad + Mac, car un seul appareil ne peut bien évidemment pas tout faire) [en fait les autres le font, et on n’a pas trouvé comment faire croire à nos fidèles 🐑 que l’idée d’un tout-en-un vient de nous]. Ok, c’est du gros sarcasme.
J’ai un iPhone, et c’est mon téléphone, mes apps pour du OTP, etc…
Ces passkeys, sérieusement, est-ce vraiment tellement plus sécurisé qu’un OTP ? (One time password)
Car au final, le OTP est une bonne solution, et peut être sauvegardé à plusieurs endroits.
Et avec le 2FA, si j’ai perdu ou cassé mon iPhone alors que je suis à l’étranger, je peux toujours faire envoyer un code dans mon e-mail.
Je trouve que du 2FA et OTP est bien.
Ces passkeys c’est un peu t’enlever le contrôle, et prendre pour un idiot d’assisté.
Enfin, c’est l’impression que ça me donne…. Car ca prend trop de temps d’entrer un OTP et est une étape de plus.
C’est beaucoup vu aux USA, sacrifié la sécurité pour du confort d’usage.
Pas dispo pour moi sur iOS
@Christophe31
Par safari il faut l’activer sur iPhone ou iPad . Par l’application c’est pas possible.
Une fois la configuration faite par safari, l’application est automatiquement configurée de son côté
Pareil ça marche pas chez moi non plus..
@stefhan
Il faut passer par le site Amazon avec safari, ne utiliser l’application pour le paramètrage.
L’application se configurera automatiquement ensuite
Comme d'autres je n'arrive pas à voir l'intérêt.
Oui cela supprime les pbs de hack au niveau du serveur puisqu'il n'y a plus de mot de passe.
Mais on me vole mon iphone après m'avoir vu entrer mon code et non seulement je perds mon compte icloud apple si le voleur est rapide mais je perds également alors l'accès à tous mes sites webs - et mon voleur a tout.
Et bien sur apple / google a tout egalement bref une requête gouvernementale ou un hack à ce niveau compromet tous mes logins.
Meme sans vol, j'oublie mon code iphone et je suis dans la mouise (par exemple je viens de changer en urgence et je ne m'en souviens plus).
Ok pour moi sur IOS
Paramètres du compte .... Connection avec mot de passe, puis verification par code OTP et après, une fois connecté on a l'option passkey à activer
Les passkeys c’est bien mais si y a pas d’identification comme FaceID TouchID je ne trouve pas cela sécurisant. Car en mettant le mdp session si qqn le connaît il peut se connecter partout (là où ça sera disponible)
Hello, petite question: je partage les mot de passe Keychain avec ma moitié (iOS 17). Est-ce je la clef sera aussi partagée, comme l’est le mot de passe aujourd’hui?