FIDO Alliance a annoncé un nouveau projet de norme pour le transfert sécurisé de mots de passe développés pour les systèmes d'authentification sans mot de passe entre différentes plates-formes. Alors que dans les systèmes existants, il n'est pas possible pour un utilisateur de transférer le mot de passe d'une plate-forme à une autre, le nouveau Protocole d'échange d'informations d'identification (CXP) Et Format d'échange d'informations d'identification (CXF) les protocoles visent à combler cette lacune. Ces projets de protocoles sont considérés comme une évolution importante, en particulier pour les utilisateurs qui souhaitent modifier leur gestionnaire de mots de passe.
Les clés d'accès permettent une connexion sans mot de passe, permettant à l'utilisateur d'utiliser des données biométriques ou des clés de sécurité au lieu des mots de passe traditionnels. Cependant, les difficultés liées au déplacement des mots de passe entre différentes plates-formes ont limité les utilisateurs au même gestionnaire de mots de passe ou à la même plate-forme. Par exemple, il n'était pas possible de transférer en toute sécurité un mot de passe stocké dans le gestionnaire de mots de passe de Google vers le trousseau iCloud d'Apple. Cela a créé une situation connue sous le nom de « verrouillage du fournisseur », qui rendait l'utilisateur dépendant d'un fournisseur de services particulier.
De nouvelles normes faciliteront le choix des utilisateurs
Ces nouveaux projets de protocoles publiés par l'Alliance FIDO garantiront le transfert crypté et sécurisé des clés d'accès entre les gestionnaires de mots de passe. Les normes proposées envisagent le transfert de clés d'accès à l'aide de l'échange de clés Diffie-Hellman et du cryptage hybride à clé publique (HPKE). Ainsi, les données des utilisateurs seront protégées lors du transfert et la sécurité des données sera assurée dans ce processus.
Alors que le protocole CXP définit les méthodes à utiliser lors du transfert des mots de passe, le protocole CXF détermine la manière dont les données seront structurées pendant le processus de transfert. Les détails des normes incluent le cryptage de chaque partie des fichiers ZIP compressés au format JSON. De cette manière, les données conserveront leur intégrité et leur sécurité lors du transfert entre différents gestionnaires de mots de passe.
1Password et Dashlane prennent en charge de nouvelles normes
De nombreuses entreprises technologiques importantes ont contribué aux projets de normes créés par l'Alliance FIDO. Des entreprises, parmi lesquelles des acteurs majeurs tels que Google, Microsoft, Apple, 1Password, Dashlane et Bitwarden, ont joué un rôle actif dans la création de ces normes. 1Password et Dashlane ont annoncé qu'ils prendraient en charge les nouvelles normes. En revanche, ce processus de transition se poursuivra pendant un certain temps puisque les normes n'ont pas encore été pleinement acceptées et mises en œuvre. Cependant, ces développements promettent de permettre aux utilisateurs de choisir le gestionnaire de mots de passe de leur choix à l’avenir et de rendre le processus de changement de plateforme plus sûr et plus fluide.
Outre ces évolutions, Amazon a également récemment annoncé avoir activé des mots de passe sur les comptes de plus de 175 millions de clients. Cela montre que les mots de passe sont adoptés par une base d’utilisateurs de plus en plus large. Les clés d'accès permettent aux utilisateurs de se connecter plus rapidement et de manière plus sécurisée, tout en minimisant les problèmes de sécurité rencontrés avec les mots de passe.
Bien qu'il n'y ait pas de calendrier clair quant à la date de mise en œuvre des nouvelles normes de l'Alliance FIDO, le processus d'examen des versions préliminaires et de réception des commentaires se poursuit. Avec l’adoption généralisée de la norme, il deviendra beaucoup plus facile pour les utilisateurs de changer de gestionnaire de mots de passe et d’utiliser des mots de passe sur différentes plates-formes.