Finary

Améliorer la sécurité avec FIDO2 et le passwordless

Bonjour,

Début très prometteur pour cette application, et beau potentiel de développement !

Cependant étant donné les informations sensibles contenus sur le portail il serait bon d’envisager une authentification bien meilleure que l’authentification basée sur le protocole TOTP et une application authenticateur type Google Authenticator, qui est aujourd’hui facilement piratable (cherchez EvilGinX2 sur Youtube par exemple). Les pirates modernisent leurs outils et bypasser ce type d’authentification est de plus en plus courant (exemple de Tweeter piraté l’été dernier).

Il existe une solution basé sur un protocole moderne d’authentification FIDO2, utilisant de la crypto a clé publique/privée, non phishable et prouvé comme non hacké à ce jour. L’alliance FIDO regroupe Google, Microsoft, Apple etc etc… C’est un standard du web, et supporté nativement dans la grande majorité des navigateurs web, peut être implémenté pour une meilleure expérience utilisateur en Passwordless. Alors pourquoi sans passer ?

Boursorama l’a bien compris, FIDO2 est le présent et l’avenir de l’authentification forte, innovant et tout fait en conformité avec les réglementations comme RGPD, PSD2… Ils supportent ce mode d’authentification depuis novembre 2020 pour l’accès à leur portail bancaire…

L’implémentation de FIDO2 ne prend que quelques heures ou jours. Vous pouvez très facilement implémenter des librairies existantes développer par les inventeurs de ce protocole comme Yubico: WebAuthn-FIDO2 Server Libraries

Il serait par ailleurs intéressant également de pouvoir se connecter avec la fédération d’identité en utilisant ses identifiants Google, Microsoft, Facebook…

Chose amusante je viens de m’apercevoir que ce portail communauté supporte l’ajout de clés de sécurité FIDO2, ce qui n’est pas encore le cas pour le portail Finary principal. Cherchez l’erreur ? Le site de discussions communauté est plus sécurisé que le portail ? :wink:

N’hésitez pas à me contacter pour plus d’information sur FIDO2 et les YubiKeys de Yubico !

Merci

3 « J'aime »

Bienvenue @Yannick et merci pour ton premier message que je trouve très intéressant.

En passant, je ne connaissais pas l’existence de FIDO2 :thinking:.

Chose amusante je viens de m’apercevoir que ce portail communauté supporte l’ajout de clés de sécurité FIDO2, ce qui n’est pas encore le cas pour le portail Finary principal.

Le site Finary et le portail ce sont deux choses bien distinctes.
Le portail de la communauté utilise la solution Open-Source Discourse, donc si celle-ci intègre quelque chose le site peut ne pas l’avoir, aussi bien pour les fonctionnalités, que les bugs (de sécu par exemple vu qu’on est dans le thème :slightly_smiling_face:).

Il serait par ailleurs intéressant également de pouvoir se connecter avec la fédération d’identité en utilisant ses identifiants Google, Microsoft, Facebook…

Je ne sais pas si c’est à considérer comme plus sécurisé qu’un mot de passe généré de 16 caractères. Si tu as un avis là-dessus je suis preneur.

Merci

Effectivement puisque les 2 sites sont distincts il faut des identifiants pour chacun des sites, cependant visiblement Discourse supporte le SSO (Seamlessly integrate Discourse with your existing site’s login system with easy, robust single sign on). Avoir 1 seul credential unique pour les 2 permettrait une meilleure experience pour les utilisateurs.

Le social login de type Google, Facebook etc est plus sécurisé car dans ce cas vous délégué l’authentification à ces plateformes qui supportent l’authentification forte FIDO2 ou FIDO U2F et bien d’autres mécanismes de sécurité.

N’hésitez pas à me contacter en MP et nous pouvons organiser un call pour en discuter.

Post intéressant (et légèrement intéressé, n’est-ce pas). Attention, ce forum n’est pas un lieu pour faire de la publicité @Yannick :wink:

Un call, mais pourquoi ! Allons prendre même une bière… :smiley:
Perso moi je ne suis pas décideur, sauf de ce que je bois :laughing:

1 « J'aime »