Passez-vous de mot de passe !

Annonces de l'administrateur
1

Oui vous avez bien entendu, pour vous connecter sur ce site vous n’avez plus nécessairement besoin d’un mot de passe, utilisez plutôt les « passkeys »

Activez votre clef d’accès dans votre profil, onglet Sécurité.

2024-05-25_20-38-17
2024-05-25_20-38-17729×586 54.2 KB

Plus d’info:

Les clés d’accès peuvent être stockées dans Dashlane:

FB_IMG_1716658677699
FB_IMG_1716658677699843×1006 58.3 KB

2

Introduction des passkeys :
Les clés d’accès, appelées « passkeys », représentent une nouvelle méthode pour éliminer les mots de passe, initiée par un regroupement de grandes entreprises technologiques.

Problèmes des mots de passe :
Les mots de passe sont considérés obsolètes. Pour être forts, ils doivent inclure au moins douze caractères variés et éviter des informations évidentes. Les phrases de passe, séquences de quatre ou cinq mots, sont actuellement recommandées par l’ANSSI et la CNIL en raison de leur longueur.

Gestionnaires de mots de passe :
Il existe trois types de gestionnaires de mots de passe :

  1. Synchronisés (LastPass, Dashlane, BitWarden, etc.) : Ils permettent une utilisation sur plusieurs appareils, mais nécessitent un mot de passe maître fort et sont vulnérables aux fuites de données.
  2. Intégrés aux navigateurs (Apple, Google, Microsoft) : Ces solutions sont pratiques si on utilise un seul navigateur, mais moins si les appareils sont hétérogènes.
  3. Simples (KeePass) : Hébergés localement, ces gestionnaires offrent une grande sécurité mais nécessitent une gestion manuelle des données sur différents appareils.

Limites des gestionnaires de mots de passe :
Bien qu’indispensables, ils ne protègent pas contre les fuites de données chez les prestataires. D’où l’importance de l’authentification multifacteur, qui combine deux facteurs parmi la connaissance, la possession et l’inhérence.

Origine des passkeys :
Les passkeys ont été créées par la FIDO Alliance, un consortium incluant Apple, Google et Microsoft, pour résoudre les problèmes liés aux mots de passe. Les passkeys visent à améliorer la sécurité et simplifier l’usage grâce à des mécanismes de vérification d’identité robustes.

L’exemple des banques

L’utilisation de mots de passe forts est une préoccupation importante pour la sécurité en ligne. Actuellement, un mot de passe est considéré comme fort s’il contient au moins douze caractères, mélangeant des majuscules, minuscules, chiffres et caractères spéciaux, et ne doit inclure aucune information évidente comme un prénom, une date de naissance ou le nom d’un animal domestique.

Dans le contexte bancaire, certaines banques imposent des mots de passe courts, souvent limités à des chiffres, comme Boursorama (8 chiffres) ou Crédit Agricole (6 chiffres). Cette approche peut sembler moins sécurisée en comparaison des standards recommandés pour les mots de passe forts. Cependant, les banques mettent en place d’autres mesures de sécurité pour compenser cette faiblesse apparente.

Mesures de Sécurité Complémentaires

  1. Limitation des Tentatives de Connexion : Les banques limitent souvent le nombre de tentatives de connexion infructueuses avant de bloquer l’accès, ce qui réduit le risque d’attaques par force brute.
  2. Surveillance de la Connexion : Les banques surveillent les heures habituelles de connexion, la localisation basée sur l’adresse IP, et le comportement de l’utilisateur pour détecter des activités suspectes.
  3. Authentification à Deux Facteurs (2FA) : Pour les opérations sensibles, les banques utilisent souvent un second facteur d’authentification, tel qu’un code envoyé par SMS, une application mobile, ou des passkeys, ce qui ajoute une couche de sécurité supplémentaire.
  4. Techniques Anti-Keyloggers : Certaines banques, comme la Banque Postale, utilisent des claviers virtuels avec disposition aléatoire des chiffres pour éviter les keyloggers.
  5. Phishing : Le risque le plus courant reste le phishing, où l’utilisateur donne directement ses identifiants. Les méthodes d’authentification multifactorielle peuvent atténuer ce risque en rendant plus difficile l’accès avec des identifiants seuls.

Conclusion

La sécurité bancaire ne repose pas uniquement sur la complexité du mot de passe. Bien que des mots de passe plus longs et complexes soient plus sûrs, les banques utilisent diverses stratégies pour gérer les risques, rendant le système globalement plus sécurisé malgré l’utilisation de codes plus simples pour certaines transactions. La gestion des risques, plutôt que la recherche d’une sécurité absolue, est essentielle dans la sécurisation des services bancaires en ligne.

3

  1. Dashlane a lancé en décembre 2023 une fonctionnalité permettant la création de comptes mobiles sans mot de passe maître, une première dans l’industrie des gestionnaires de mots de passe.

  2. Des données anonymisées comparant les nouveaux utilisateurs sans mot de passe aux utilisateurs avec mot de passe maître montrent que les utilisateurs sans mot de passe :

    • Utilisent Dashlane 40% plus fréquemment
    • Utilisent la saisie automatique 25% plus souvent
    • Sont 240% plus susceptibles de partager un élément
    • Sont 200% plus susceptibles d’ajouter un jeton 2FA à un élément du coffre-fort
    • Sont 20% plus susceptibles d’utiliser le générateur de mots de passe de Dashlane

  3. Ces résultats préliminaires suggèrent que la suppression du mot de passe maître réduit les frictions et encourage un engagement plus actif et sécurisé des utilisateurs.

  4. L’article souligne l’importance de l’évolution vers l’authentification sans mot de passe pour améliorer à la fois la sécurité et la facilité d’utilisation.

  5. Dashlane prévoit d’étendre cette fonctionnalité à toutes les plateformes dans le futur.

source:

4

Source: Extraits de « Les Clés d’Accès Expliquées : 7 Mythes sur les Clés d’Accès Démystifiés par le Chef de l’Innovation de Dashlane - Dashlane »

I. Introduction aux Clés d’Accès et Objectif de l’Article

Ce chapitre introductif rappelle brièvement le concept des clés d’accès et le but de l’article, qui est de démystifier les idées fausses courantes concernant leur sécurité et leur utilisation.

II. Mythes sur la Sécurité et l’Utilisation des Clés d’Accès

A. Mythe n° 1 : La perte de votre téléphone implique la perte de vos clés d’accès.

Cette section réfute le mythe en expliquant que les clés d’accès se synchronisent généralement entre les appareils, permettant leur récupération via un compte associé sur un autre appareil.

B. Mythe n° 2 : Seuls Google et Apple synchronisent actuellement les clés d’accès.

Ce passage souligne que les fournisseurs tiers comme Dashlane utilisent leur propre infrastructure cloud pour la synchronisation, et mentionne l’arrivée future de la synchronisation des clés d’accès pour Windows 11.

C. Mythe n° 3 : Les clés d’accès envoient vos informations biométriques sur Internet.

Ici, l’article explique que les méthodes de vérification (biométrie, code PIN, etc.) fonctionnent localement sur l’appareil pour déverrouiller la clé d’accès, sans transmission d’informations biométriques.

D. Mythe n° 4 : Vous pouvez changer votre mot de passe mais pas une clé d’accès.

Cette section clarifie qu’il est possible de changer une clé d’accès en la supprimant du site web et en en réinscrivant une nouvelle, chaque clé étant unique et infalsifiable.

E. Mythe n° 5 : Les codes PIN sont moins sécurisés que les mots de passe.

L’article réfute ce mythe en argumentant que les codes PIN, bien que plus courts, sont liés à un appareil spécifique et intègrent une limite de tentatives, les rendant intrinsèquement plus sûrs.

F. Mythe n° 6 : Utiliser un gestionnaire de mots de passe est préférable aux clés d’accès.

Cette partie reconnaît l’utilité des gestionnaires de mots de passe, mais souligne que les clés d’accès offrent une résistance supérieure au phishing, et que les gestionnaires de mots de passe intègrent désormais le support des clés d’accès.

G. Mythe n° 7 : Les clés d’accès sont un moyen pour les fournisseurs de fidéliser les utilisateurs à leurs plateformes.

L’article explique que la FIDO Alliance a publié des normes permettant l’exportation sécurisée des clés d’accès, garantissant la portabilité des données entre les gestionnaires de mots de passe.

III. Conclusion : L’Avenir des Clés d’Accès

Cette section conclut en affirmant que les clés d’accès, malgré les mythes, deviennent rapidement la norme en matière d’authentification, avec une adoption croissante et un avenir prometteur.