L’API Web Authentication

Dominique Hazael-Massieux — W3C

Copyright © 2019 W3C ® (MIT, ERCIM, Keio, Beihang)

L’API Web Authentication

Dominique Hazaël-Massieux

W3C

/dev/var/23

📷 Amaranta, DSCN0556, CC-BY-NC-ND

dom@w3.org

W3C → Standards pour le Web
@dontcallmeDOM sur Twitter et Github
WebRTC, mobile, VR/AR/XR
DevRel @w3cdevs

Sécuriser le Web

Chaque mois, voire chaque semaine, voit son lot d’annonces de vols d’information d’autentification

Mots de passe, mots de casse

Les mots de passe présentent une série de faiblesses rendant leur usage problématiques

Deloitte Review,
A world beyond passwords:
Improving security, efficiency,
and user experience in digital transformation

Solutions?

	Usabilité	Vol	Réutilisation	Phishing	Révocation
Mot de passe	⭐✩✩	✩✩✩	✩✩✩	✩✩✩	⭐⭐✩
Gestionnaire de mdp	⭐✩✩	✩✩✩	⭐⭐⭐	✩✩✩	⭐⭐✩
2FA / OTP	⭐✩✩	✩✩✩	⭐⭐⭐	⭐✩✩	⭐⭐✩
Biométrique	⭐⭐✩	⭐⭐✩	✩✩✩	⭐⭐✩	✩✩✩
PKI	✩✩✩	⭐⭐⭐	⭐⭐✩	⭐✩✩	⭐⭐✩

WebAuthn + FIDO2

	Usabilité	Vol	Réutilisation	Phishing	Révocation
FIDO2	⭐⭐✩	⭐⭐⭐	⭐⭐⭐	⭐⭐⭐	⭐⭐✩

Rend les PKI utilisables

Vue d’ensemble de l’architecture FIDO2

Ackermann Yuriy, Introduction to WebAuthn API

Exemples de clés FIDO U2F

Demo !

Différents types de vérification locale

présence (bouton)
PIN
biométrique

(vérification purement locale)

Abandonner les mots de passe complètement ?

FIDO2 peut être utilisé comme facteur d’identification supplémentaire…
mais aussi comme facteur unique !

Adoption

Disponible Chrome (mobile et desktop) Edge Firefox

En développement Safari

Sites Dropbox

Server-Side Frameworks fido2-lib (node) java-webauthn-server more

Merci

Intro to WebAuthn API - WebAuthn/FIDO2: Verifying responses

dom@w3.org

@dontcallmeDOM