Français
  • webauthn
  • passkey
  • mfa

Choses à savoir avant d'intégrer WebAuthn

Présente quelques concepts de base de WebAuthn, dans le but de vous aider à prendre de meilleures décisions lors de l'intégration de WebAuthn.

Sijie
Sijie
Developer

WebAuthn offre une alternative plus sécurisée et conviviale aux mots de passe traditionnels. Sa popularité est en hausse, avec un nombre croissant de sites web qui adoptent cette technologie. Si vous êtes impatient d'intégrer WebAuthn à votre propre site web, vous n'êtes pas seul. Cependant, en tant que technologie relativement nouvelle, vous avez probablement beaucoup de questions à son sujet.

Lorsque vous envisagez d'intégrer WebAuthn à votre site web ou à votre application, la compréhension de ces concepts et considérations clés vous aidera à prendre des décisions éclairées sur la mise en œuvre.

Que sont WebAuthn et Passkeys?

Clarifions les définitions :

  • Web Authentication API (WebAuthn) est une extension de Credential Management API. Il permet une authentification forte avec la cryptographie à clé publique, permettant une authentification multi-factorielle (MFA) sans mot de passe et sécurisée sans avoir besoin de textes SMS.
  • Passkeys représente une alternative intrigante basée sur WebAuthn à l'approche conventionnelle "mot de passe + deuxième facteur" que beaucoup d'entre nous ont endurée. Dans ce contexte, les passkeys sont un cas d'utilisation spécifique dans la norme WebAuthn.

Puis-je utiliser une clé passkey sur plusieurs appareils

Oui, vous pouvez utiliser une Passkey sur plusieurs appareils de deux façons :

  1. Synchronisation avec les gestionnaires de mots de passe : Les gestionnaires de mots de passe populaires comme iCloud Keychain, Google Password Manager et 1Password vous permettent de synchroniser p. Les Passkeys marquées comme "cross-platform" dans la réponse d'enregistrement, comme l'étiquette "synchronisée" de GitHub, peuvent être utilisées sur divers appareils.
  2. QRCode et Bluetooth : Une autre approche consiste à utiliser des codes QR et le Bluetooth pour se connecter depuis un autre appareil. Cette méthode offre une flexibilité aux utilisateurs pour accéder à leurs comptes sur différentes plateformes.

Peut-il être la seule méthode d'authentification

Absolument, WebAuthn est un facteur d'authentification hautement sécurisé. La Passkey contient un "ID utilisateur", et lors de l'authentification, le serveur reçoit l'"ID utilisateur" vérifié comme identifiant. Cet "ID utilisateur" peut être un identifiant universellement unique (UUID) ou d'autres identifiants uniques tels que l'e-mail, le numéro de téléphone ou le nom d'utilisateur. Les utilisateurs peuvent choisir de saisir d'abord leur "ID utilisateur" puis de rechercher une Passkey valide ou de sélectionner une Passkey dans une liste associée au domaine actuel.

Quelle est la compatibilité aujourd'hui

WebAuthn peut être utilisé dans un contexte sécurisé (HTTPS) et est pris en charge dans les dernières versions de la plupart des navigateurs. Pour des informations détaillées sur la compatibilité, veuillez consulter la documentation MDN.

Le domaine est l'identifiant clé de passkey

Dans les actions WebAuthn, que ce soit pour l'enregistrement ou l'authentification, l'"ID rp" (ID de la partie de confiance) est un champ obligatoire. Il représente le nom d'hôte du domaine de la page web courante. S'il ne correspond pas au domaine actuel, le navigateur rejettera la demande. Cela signifie que les passkeys sont liées à un domaine spécifique, et qu'il n'y a actuellement aucun moyen de migrer les passkeys existantes vers un autre domaine. De plus, les passkeys ne peuvent pas être utilisées sur différents domaines. Pour plus de détails, veuillez voir ce problème.

Comparaison avec l'application d'authentification (TOTP)

Comparé aux méthodes traditionnelles d'authentification à deux facteurs, comme les mots de passe à usage unique basés sur le temps (TOTP) et les applications Authenticator, WebAuthn présente plusieurs avantages. WebAuthn offre une expérience d'authentification plus conviviale et sécurisée. Contrairement au TOTP, qui nécessite une saisie manuelle d'un code constamment changeant, ou aux applications Authenticator qui peuvent être compromises si l'appareil est volé, WebAuthn s'appuie sur du matériel sécurisé et de la biométrie pour un processus d'authentification robuste et fluide.

Cependant, il est important de noter que le TOTP a toujours ses avantages, tels que la facilité de sauvegarde et l'utilisation multi-appareils, le rendant compatible avec presque tous les appareils.

Conclusion

WebAuthn est indéniablement excitant, mais comme toute technologie révolutionnaire, il est essentiel de bien la comprendre avant de l'adopter. Cet article vise à vous doter des connaissances nécessaires pour prendre des décisions éclairées en ce qui concerne l'intégration de WebAuthn. En considérant ses avantages potentiels, gardez à l'esprit que rester informé est votre clé du succès. Au fait, restez à l'écoute car la prochaine grande fonctionnalité de Logto supportera WebAuthn, offrant encore plus de possibilités pour une authentification transparente et sécurisée.

Essayez Logto aujourd'hui