L’alliance Fast IDentity Online (FIDO) a publié un projet de travail d’une nouvelle spécification qui vise à permettre le transfert sécurisé des mots de passe entre différents fournisseurs.
Les clés d’accès sont une méthode d’authentification sans mot de passe qui exploite la cryptographie à clé publique pour authentifier les utilisateurs sans leur demander de se souvenir ou de gérer de longues chaînes de caractères.
FIDO rapporte que les connexions sont devenues 75% plus rapides et 20% plus efficaces que les authentifications par mot de passe, soulignant les avantages de cette nouvelle technologie.
Bien que pratique et résistant au phishing, l’un des principaux défis des clés d’accès est qu’il n’existe aucun moyen sécurisé de les transférer entre différentes plates-formes et fournisseurs de services.
Par exemple, les utilisateurs qui ont créé des mots de passe dans le Gestionnaire de mots de passe de Google ne pouvaient pas les transférer en toute sécurité vers le trousseau iCloud d’Apple lorsqu’ils changeaient d’appareil, créant une sorte de « verrouillage du fournisseur » ou même de « verrouillage de l’appareil ».
Par conséquent, au lieu d’offrir plus de liberté, les mots de passe créaient une fragmentation indésirable de l’expérience utilisateur et introduisaient des risques de sécurité lors de la tentative de les porter sur une autre plate-forme.
Standardisation de la portabilité des mots de passe
La nouvelle spécification proposée par FIDO répond essentiellement à l’absence de normes sécurisées largement acceptées pour le transfert des informations d’identification, éliminant les complications ou les limitations pratiques lors du passage d’un fournisseur à l’autre.
Les spécifications sont présentées dans deux projets distincts, à savoir le Protocole d’échange d’informations d’identification (CXP) et le Format d’échange d’informations d’identification (CXF).
CXP définit une méthode pour transférer en toute sécurité les informations d’identification entre différents fournisseurs à l’aide de l’échange de clés Diffie-Hellman et du chiffrement à clé publique hybride (HPKE), de sorte que les données sont sécurisées pendant leur transit.
CXF définit une structure normalisée pour le transfert sécurisé des informations d’identification entre les fournisseurs pendant la migration, garantissant l’interopérabilité et l’intégrité des données. Les formats proposés incluent JSON dans ZIP, chaque partie étant cryptée comme spécifié par CXP.
Les versions préliminaires ont été élaborées avec la contribution de spécialistes des membres associés de FIDO et de parties prenantes telles que Dashlane, Bitwarden, 1Password, NordPass et Google.
L’Alliance FIDO, qui est composée de leaders de l’espace technologique comme Google, Microsoft, Apple, Visa, Mastercard, PayPal, Intel, Samsung, Meta et Amazon, espère que la nouvelle spécification alimentera l’adoption des mots de passe, qui sont aujourd’hui utilisés pour protéger plus de 12 milliards de comptes en ligne.
Les spécifications proposées sont actuellement à l’état d’ébauche et peuvent être modifiées.
Les personnes intéressées à participer à la formulation des spécifications peuvent faire part de leurs commentaires via cette page GitHub. Les ébauches seront progressivement mises à jour pour refléter les ajouts et les changements jusqu’à ce qu’elles se solidifient, mais aucun échéancier pour cela n’a été fourni pour le moment.