GuiGui's Show

Avis partagé sur les clés d'accès (passkeys) :

• absence d'homogénéité entre les sites utilisateurs et les implémentations pour mise en place et utilisation, d'où une difficulté d'utilisation ;
  
  
• chaque fournisseur de passkey, notamment les GAFAM, et les intermédiaires (navigateurs web, système, etc.) compliquent ou détournent pour favoriser leur implémentation ou la synchronisation via leurs systèmes (= on leur file les clés de la maison) ;
  
  
• conséquences du point précédent : difficultés pour le multi-fournisseurs et/ou le multi-appareils ;
  
  
• repli sur mdp ou code de récupération et/ou sur des canaux pas sécurisés (SMS, etc.) qui annihilent tout intérêt. Je ne crois pas que ça soit transitoire, au moins pour l'enrôlement : il faudra toujours gérer la perte ou la compromission de la clé d'accès, même logicielle, et la procédure pour ce faire sera toujours vulnérable.

Je ne partage pas totalement la critique « la passkey se cumule avec un mot de passe ou autre facteur, ce qui réduit son intérêt, alors que l'idée de base était que la passkey soit un facteur de possession (clé physique, par ex.) et un facteur de connaissance (PIN d'une clé physique, par ex.) ou un facteur inhérent (biométrie pour débloquer la clé physique) ». C'est précisément parce que le site qui accepte les clés d'accès ne peut pas savoir si une passkey est protégée par deux facteurs qu'il continuera à exiger de la 2FA qu'il maîtrise.