Passkeys vs. Magic Links Image symbolique de deux technologies.

Passkeys et Magic Link - Pourquoi je trouve Magic Link meilleur

Les passkeys sont la nouvelle merde en vogue dans le monde des développeurs, enfin, c'est l'impression que j'ai, car j'utilise 2 services qui me l'imposent et je n'en autorise qu'un seul, et pour cause. Dans cet article, tu apprendras ce que sont les passkeys, pourquoi ce n'est pas si simple et pourquoi je trouve que Magic Links est une meilleure alternative.

Que sont les clés d'accès ?

Les gens sont distraits et ne veulent/peuvent pas se souvenir de mots de passe longs et complexes. Il existe certes des services comme KeePass ou LastPass, qui permettent de sécuriser les mots de passe avec un mot de passe maître, mais même cela reste trop compliqué pour certains.

En bref, les mots de passe courts ne sont pas sûrs et les mots de passe longs sont difficiles à retenir.

Les passkeys devraient offrir une solution à ce problème, à savoir que l'on peut utiliser les WebAutn navigateur API via son appareil mobile peut s'authentifier, par exemple avec une empreinte digitale. Il suffit ensuite d'indiquer son adresse e-mail pour pouvoir se connecter. Plus besoin de mot de passe.

Ingénieux, non ?

Les passkeys ne sont pas faciles

Alors que la théorie semble incroyablement géniale et ingénieuse, la réalisation pratique est tout sauf simple, car en plus des connaissances d'experts en matière d'implémentation de Javascript, de cybersécurité et de possibles nids de poule lors du développement, car en fin de compte cela doit être sûr, mais pour que cela soit sûr, il faut aussi pouvoir l'implémenter en toute sécurité dans sa propre application. Car sans mot de passe, en cas de problème, l'utilisateur n'a plus accès à ses données.

CorbadoLes experts qui aident à mettre en œuvre Passkeys disent qu'il est 100 fois plus difficile d'intégrer Passkeys dans la production que ne le montre une simple démonstration de Passkeys.

Il existe en effet différents pièges qui peuvent poser problème, par exemple la clé d'accès doit-elle aussi fonctionner sur un nouvel appareil ou que se passe-t-il si l'ancien appareil est perdu ? Que se passe-t-il si l'on demande certes la connexion Passkey via l'application web, mais qu'aucune demande d'authentification n'apparaît sur l'appareil mobile (cela m'est déjà arrivé plusieurs fois avec un service, c'est pourquoi j'utilise l'option Passkey et mot de passe) ?

Mettre en œuvre des clés de passage

Non, il ne s'agit pas ici d'un guide, car le sujet est complexe et je préfère, en tant que développeur, m'en remettre à des experts en sécurité qui savent comment s'y prendre.

Les experts de Corbado ont publié ici un tutoriel qui explique bien comment l'implémenter :
Tutoriel Passkey : comment mettre en œuvre Passkey dans les Web Apps

 

Magic Link comme alternative

Mais existe-t-il une alternative plus sûre et plus simple aux clés d'accès ? Oui, elle existe, et on la trouve sur Internet sous deux noms différents, soit Magic Link, mais parfois aussi appelé Magic Login, les deux signifiant la même chose, mais ne sont que des noms différents.

Qu'est-ce que le lien magique ?

Il s'agit ici de l'externalisation de l'authentification, l'utilisateur ne se connecte plus au service web, mais à son fournisseur de messagerie. Le service web n'a donc pas enregistré le mot de passe de l'utilisateur.

Comment cela fonctionne-t-il ?

En principe, c'est assez simple et pourtant sûr, car pour le service web, il suffit d'indiquer son adresse e-mail déjà enregistrée via la procédure Magic Link. Le service envoie ensuite un e-mail à l'utilisateur avec un lien et un jeton d'authentification.

Pour pouvoir se connecter au service web, il faut s'inscrire auprès du fournisseur d'e-mail où l'on peut accéder à l'e-mail, donc s'authentifier en ayant le mot de passe de son propre compte e-mail, dont l'adresse e-mail veut se connecter au service web. Après avoir cliqué sur le lien, on s'inscrit au service web et on peut l'utiliser normalement.

Quels sont les avantages et les inconvénients ?

Avantages de Magic Links

  1. Simplicité et convivialité:
    • Les utilisateurs n'ont pas besoin de mémoriser ou de créer des mots de passe.
    • Le processus d'inscription est rapide et simple.
  2. Sécurité:
    • Minimise le risque de vol de mot de passe et d'attaques par hameçonnage, car aucun mot de passe fixe n'est utilisé.
    • Les liens sont souvent limités dans le temps et ne peuvent être utilisés qu'une seule fois.
  3. Moins de gestion des mots de passe:
    • Les utilisateurs n'ont pas besoin de créer ou de modifier des mots de passe complexes.
    • Pas besoin d'effectuer des procédures de réinitialisation de mot de passe.
  4. Accessibilité:
    • Les utilisateurs peuvent se connecter à partir de n'importe quel appareil en utilisant leur adresse électronique, sans avoir besoin d'informations supplémentaires.

Inconvénients de Magic Links

  1. Dépendance à l'égard du courrier électronique:
    • Les utilisateurs doivent avoir accès à leur messagerie électronique pour pouvoir se connecter.
    • En cas de problèmes avec le service de messagerie, le processus de connexion peut être perturbé.
  2. Risques pour la sécurité des comptes de messagerie:
    • Si le compte de messagerie d'un utilisateur est compromis, les attaquants peuvent facilement se connecter.
    • Les liens de messagerie peuvent être interceptés ou transférés si la sécurité de la messagerie n'est pas garantie.
  3. Acceptation par l'utilisateur:
    • Certains utilisateurs peuvent ne pas être familiers avec les liens magiques et préférer les méthodes de connexion traditionnelles.
    • Peut être perçu comme moins fiable si les utilisateurs ne sont pas sûrs de son fonctionnement.
  4. Retards dans les e-mails:
    • Les retards dans la réception des e-mails peuvent ralentir le processus d'inscription.
    • Les e-mails pourraient se retrouver dans le dossier spam, ce qui rendrait l'accès plus difficile.

 

Il offre donc clairement les avantages, mais aussi les inconvénients, les inconvénients pouvant toutefois être fortement influencés. Ainsi, il faudrait toujours protéger son compte e-mail avec 2FA (authentification à deux facteurs) et utiliser un grand fournisseur de messagerie, comme par exemple Gmail, qui offre le savoir-faire et les fonctions de sécurité permettant de minimiser les attaques de piratage. Les retards de courrier électronique sont, dans le pire des cas, de 1 à 5 minutes, selon le fournisseur de messagerie, mais, selon mon expérience, ils sont reçus en quelques secondes.

Bien sûr, l'acceptation de l'utilisateur est un problème, car celui qui n'en a pas encore fait l'expérience aura plus de mal à s'y retrouver, car il veut utiliser le service web, mais doit en même temps avoir son compte de messagerie ouvert. Néanmoins, on s'épargne le risque que le mot de passe du service web soit volé par piratage et puisse être utilisé à mauvais escient, car s'il n'y a pas de mot de passe, on ne peut pas en voler un. Et on s'épargne la nécessité de mémoriser ou de gérer plusieurs mots de passe.

C'est pourquoi j'aime utiliser la possibilité d'implémenter des liens magiques comme option de connexion dans les services que je développe moi-même.

En effet, du point de vue du développeur, les Magic Links sont techniquement plus simples et plus rapides à réaliser, et ce dans différents langages de programmation, alors que les Passkeys ne sont à ma connaissance réalisables qu'avec Javascript, car la requête doit être exécutée dans la fenêtre du navigateur du côté client.

 

Sources complémentaires :

 

Vous aimez cet article ? Partagez-le !

Publié par Petr Kirpeit

Tous les articles correspondent à mon opinion personnelle et sont rédigés en allemand. Afin de permettre aux lecteurs anglophones d'accéder aux articles, ceux-ci sont automatiquement traduits via DeepL. Les faits et les sources sont ajoutés dans la mesure du possible. En l'absence de preuves évidentes, l'article en question est considéré comme mon opinion personnelle au moment de sa publication. Cette opinion peut évoluer au fil du temps. Les amis, partenaires, entreprises et autres ne sont pas obligés de partager cette position.

Laisser un commentaire