Oui oui c'est merveilleux, ça va remplacer les mots de passe, tout ça. Mais je vois quelques problèmes avec les passkeys:
- Ça se base sur la biométrie (empreinte digitale, visage...). Parce que c'est plus pratique, plus rapide et qu'on ne peut pas les "perdre". Mais je vais le répéter encore une fois: Ça se copie. Et une fois copié, vous ne pouvez pas changer de visage ou d'empreintes.
- Les passkeys sont liés à un périphérique (stockage sécurisé (TPM, Secure Enclave, etc.)). Il se passe quoi si la personne n'a qu'un seul périphérique (son téléphone) et qu'elle le perd ou se le fait voler ?
- La révocation se passe comment ? (Si vous *savez* qu'un périphérique contenant votre passkey a été volé.)
- Il faudra un mécanisme de récupération. On y échappera pas (Email, code, autre ?). Cela restera donc le maillon faible.
- Les implémentations seront compatibles ? (Votre passkey Google sera utilisable sur des services Apple ? Sur des appareils, logiciels et services non-Google ?). C'est flou.
- C'est donc encore un truc très centralisé chez quelques gros acteurs du numérique ? ENCORE ?
Ce ne serait pas la première fois qu'on nous présente une nouvelle silver-bullet d'authentification. J'ai appris à être méfiant (Vous vous souvenez d'OpenID ? Voilà. https://fr.wikipedia.org/wiki/OpenID)
(Permalink)