Mettre en place des clés d'accès
Voir également Présentation des clés secrètes
Cette rubrique explique comment implémenter des connexions directes entre les applications en ligne, d’entreprise et gouvernementales, ainsi que pour les paiements. Vous pouvez implémenter des clés secrètes (au lieu de mots de passe) pour fournir à vos sites web et applications des connexions sécurisées par l’utilisateur et de manière sécurisée par chiffrement, toutes avec l’API WebAuthn publique.
Les fournisseurs de services de consommation, les entreprises et les gouvernements du monde entier passent de l’authentification par formulaire (par exemple, les mots de passe et les otP SMS) aux connexions basées sur la clé de passe. Chaque organisation a ses propres cas d’usage et exigences métier.
Fonctionnement des clés secrètes
Les clés secrètes utilisent des techniques de chiffrement à clé publique standard. Lorsqu’un utilisateur s’inscrit auprès d’un service en ligne, l’appareil client de l’utilisateur crée une paire de clés de chiffrement liée au domaine du service web. L’appareil conserve la clé privée et inscrit la clé publique auprès du service en ligne. Ces paires de clés de chiffrement, appelées clés secrètes, sont uniques et liées au domaine de service en ligne.
La façon dont l’authentification fonctionne est que l’appareil de l’utilisateur doit prouver la possession de la clé privée en présentant un défi pour que la connexion soit terminée. Cela se produit une fois que l’utilisateur approuve la connexion localement sur son appareil, par le biais d’une entrée rapide et facile d’une biométrie (par exemple, une empreinte numérique) ou un code confidentiel local, ou l’interaction tactile d’une clé de sécurité FIDO. La connexion est effectuée via une réponse de défi à partir de l’appareil de l’utilisateur et du service en ligne. Le service ne voit pas ou ne stocke jamais la clé privée.
Pour inscrire une clé secrète auprès d’un service en ligne :
- L’utilisateur est invité à créer une clé secrète.
- L’utilisateur vérifie la création de la clé secrète via une méthode d’authentification locale (par exemple, la biométrie).
- L’appareil de l’utilisateur crée une paire de clés publique/privée (clé secrète) unique pour l’appareil local, le service en ligne et le compte de l’utilisateur.
- La clé publique (et uniquement celle-ci) est envoyée au service en ligne et est associée au compte de l’utilisateur.
Pour vous connecter par la suite à l’aide d’une clé secrète :
- L’utilisateur est invité à se connecter à l’aide d’une clé secrète.
- L’utilisateur vérifie la connexion à l’aide d’une méthode d’authentification locale (par exemple, la biométrie).
- L’appareil utilise l’identificateur de compte de l’utilisateur (fourni par le service) pour sélectionner la clé correcte et signer le défi du service.
- L’appareil client renvoie le défi signé au service, qui le vérifie avec la clé publique stockée et connecte l’utilisateur.
Implémenter des clés secrètes pour les consommateurs, l’entreprise, le gouvernement ou les paiements
Cette section est destinée à vous si vous envisagez d’implémenter des clés secrètes.
Si vous débutez avec FIDO, nous vous recommandons de commencer par passer en revue la vue d’ensemble des spécifications de l’authentification utilisateur. Ensuite, vous pouvez accéder aux dernières versions des spécifications d’authentification utilisateur FIDO Alliance à l’adresse Télécharger les spécifications d’authentification.
FiDO Certified Showcase met en évidence les membres de FIDO Alliance et leurs solutions FIDO Certified. Il s’agit d’une ressource intéressante si vous souhaitez déployer FIDO.
Le groupe de travail EDWG (FIDO Enterprise Deployment Working Group) a développé une série de livres blancs qui fournissent des conseils aux dirigeants et aux praticiens qui considèrent les clés secrètes ( mise à l’échelle des PME aux grandes entreprises). Pour comprendre les points de décision clés, consultez Enterprise.
Si votre champ est le long des lignes des services citoyens ou des demandes d’employés du gouvernement, consultez Le gouvernement.
Pour plus d’informations sur les scénarios de paiement qui sont idéaux pour les clés secrètes, consultez Paiements.
Étapes suivantes
Consultez ensuite les instructions de conception pour les clés secrètes.
Plus d’informations
- Introduction aux clés secrètes
- API WebAuthn pour l’authentification sans mot de passe sur Windows
- Passkeys.dev
- Prise en main de votre parcours sans mot de passe sur le site web FIDO Alliance
Windows developer