fsebugoutzone.org:9999

       Post Awr8CMSiIiFQuNUNH6 by lou_de_sel@eldritch.cafe
 (DIR) More posts by lou_de_sel@eldritch.cafe
 (DIR) Post #Awr3fjTrIXyyvTD6yO by sebsauvage@framapiaf.org
       2025-08-05T08:53:43Z
       
       1 likes, 0 repeats
       
       #sécurité Vous savez que je ne suis pas fan des Passkeys que tous les GAFAM et sites poussent à fond.Et je suis tombé sur un article qui résume ça bien :Finalement ce sont des mots de passe forts générés aléatoirement et stockés dans un gestionnaire de mots de passe dont vous ne pouvez pas changer, prisionnier d&#39;un GAFAM, et que vous ne pouvez pas exporter.https://sc.vern.cc/@danfabulich/passkeys-are-just-passwords-that-require-a-password-manager-ebb7f2fdcadf
       
 (DIR) Post #Awr473a8fbYF5VB2wq by lanodan@queer.hacktivis.me
       2025-08-05T09:10:18.982055Z
       
       0 likes, 0 repeats
       
       @sebsauvage J&#39;en suis pas un fan non plus mais y&#39;a pas des implémentations de passkeys qui fonctionnent sans GAFAMs?Perso j&#39;y toucherais pas vu que ça dépend d&#39;un navigateur avec une API JavaScript spécifique, et donc par définition fera chier pour l&#39;usage de clients natifs ou de navigateurs alternatifs.
       
 (DIR) Post #Awr50ISn2hkRAX52VE by zgou@diaspodon.fr
       2025-08-05T09:01:47Z
       
       0 likes, 0 repeats
       
       @sebsauvage Les passkeys n&#39;ont rien à voir avec les GAFAM, et ne sont pas &quot;de simple mot de passe&quot;.Et je ne sais pas si l&#39;auteur·ice pense honnêtement qu&#39;on migre de gestionnaire de mdp avec des copier-collers ou a déjà migré de gestionnaire de mdp
       
 (DIR) Post #Awr50JkCHTGZ8oESH2 by zgou@diaspodon.fr
       2025-08-05T09:02:56Z
       
       0 likes, 0 repeats
       
       @sebsauvage Bref, article qui manque de connaissance sur le sujet ou malhonnête.Et je pense qu&#39;on peut promouvoir keepass au passage (qui supporte les passkeys - la version sur Android arrive)
       
 (DIR) Post #Awr50KuVwb74l64Czg by sebsauvage@framapiaf.org
       2025-08-05T09:06:27Z
       
       0 likes, 0 repeats
       
       @zgou Fondamentalement, les passekeys c&#39;est le stockage d&#39;un secret (clé symétrique ou clé asymétrique privée).C&#39;est pas franchement différent d&#39;un gestionnaire de mots de passe, à part que tes passkeys sont prisonnières du périphérique de stockage (ce qui n&#39;est pas forcément une super idée pour les backups).
       
 (DIR) Post #Awr50LoAbfdHXi6ekC by zgou@diaspodon.fr
       2025-08-05T09:09:20Z
       
       0 likes, 0 repeats
       
       @sebsauvage Oui ce sont des secrets stockés, mais l&#39;authentification (toujours asymétrique) se fait via la signature qui dépend du contexte (du site visité), contrairement aux mdps - c&#39;est une énorme différence
       
 (DIR) Post #Awr50MhTI3ruJDyowS by sebsauvage@framapiaf.org
       2025-08-05T09:14:21Z
       
       0 likes, 0 repeats
       
       @zgou ce qui évite le vol du secret même si quelqu&#39;un parvient à lire le contenu du flux chiffré (contrairement au mot de passe). Tu penses que ça arrive souvent ?Moi non.En revanche oui ça empêche le vol du mot de passe de l&#39;appareil, mais cette sécurité est aussi une entrave.
       
 (DIR) Post #Awr50NJkziUeDxtOcK by zgou@diaspodon.fr
       2025-08-05T09:16:01Z
       
       0 likes, 0 repeats
       
       @sebsauvage Oui ça arrive souvent, c&#39;est tout le principe des sites de phishing, c&#39;est assez commun malheureusement
       
 (DIR) Post #Awr50NyAZSosFInfbk by zgou@diaspodon.fr
       2025-08-05T09:17:19Z
       
       0 likes, 0 repeats
       
       @sebsauvage Et pour avoir taffé dans le domaine, toute solution pour éviter le phishing qui se base uniquement sur l&#39;éducation des utilisateur·ices est mauvaise. N&#39;importe qui peut se faire avoir
       
 (DIR) Post #Awr50Oxqs89xKbevke by sebsauvage@framapiaf.org
       2025-08-05T09:18:22Z
       
       1 likes, 0 repeats
       
       @zgou ouais je sais, l&#39;éducation des utilisateurs c&#39;est mort 😭Et du coup, ça va être des solutions auto-magiques fournies par défaut par Google, Apple et compagnie. 🤷‍♂️(et bon courage pour transférer tes passkeys sur un autre appareil.)
       
 (DIR) Post #Awr50RQdi4NKyT8wts by zgou@diaspodon.fr
       2025-08-05T09:07:29Z
       
       0 likes, 0 repeats
       
       @sebsauvage Je pense que c&#39;est une confusion dûe aux premières implémentations
       
 (DIR) Post #Awr50TinBY5I5LeTTM by zgou@diaspodon.fr
       2025-08-05T09:11:42Z
       
       0 likes, 0 repeats
       
       @sebsauvage et niveau UX, c&#39;est mille fois moins chiant de mettre un PIN, ou une authent bio que de:- s&#39;authentifier- ouvrir une autre appli et entrer l&#39;OTP (quand ce n&#39;est pas un mail avec un code dont l&#39;interface refuse le copier/coller ou un SMS dont l&#39;intérêt est hyper limité)
       
 (DIR) Post #Awr50cCVewboNpcJu4 by zgou@diaspodon.fr
       2025-08-05T09:12:42Z
       
       0 likes, 0 repeats
       
       @sebsauvage J&#39;ai vu ma compagne (dans l&#39;écosystème Apple) utiliser des passkeys sans même s&#39;en rendre compte, je ne sais pas si elle sait ce que c&#39;est, elle s&#39;authentifie juste avec son gestionnaire quoi
       
 (DIR) Post #Awr7hqCJh8wG9dGZ2e by copain9@infosec.exchange
       2025-08-05T09:22:41Z
       
       0 likes, 0 repeats
       
       @sebsauvage @zgou Pourquoi transférer ? Il suffit d&#39;enroller ton autre appareil. Mais je suis d&#39;accord que c&#39;est peu pratique de devoir enroller plusieurs appareils quand tu crées un compte sur un nouveau service.
       
 (DIR) Post #Awr7hrP7D2lptcGId6 by sebsauvage@framapiaf.org
       2025-08-05T09:24:46Z
       
       0 likes, 0 repeats
       
       @copain9 Oui ok enrôller périphérique par périphérique.Via email.@zgou
       
 (DIR) Post #Awr7hsT3FtVtC76xP6 by copain9@infosec.exchange
       2025-08-05T09:40:53Z
       
       0 likes, 0 repeats
       
       @sebsauvage @zgou Comment ça via email ? Tu t&#39;authentifies avec le premier appareil pour enrôler le second.Pour enroller le premier appareil, on est bien obligé de se baser sur l&#39;existant, soit c&#39;est une création de comptes soit on se base sur l&#39;authent existante (MDP, OTP, ...). Pour le scénario ou tous les appareils enrôlés sont perdus, c&#39;est compliqué, il ne faut pas que le process de récupération du compte soit plus faible qu&#39;une authentification.
       
 (DIR) Post #Awr7htoMGA9PMU5UFk by sebsauvage@framapiaf.org
       2025-08-05T09:44:17Z
       
       1 likes, 0 repeats
       
       @copain9 &quot;Tu t&#39;authentifies avec le premier appareil pour enrôler le second.&quot;Ok.Gros comme une maison : &quot;J&#39;ai perdu mon téléphone, je ne peux plus accéder à mes mail.&quot;Ok.Authentification par email. Ah bah non puisque c&#39;est ton passkeys qui permettait d&#39;accéder à la boîte mail.2FA: Par SMS ? ben on t&#39;as plus ton téléphone.Par TOTP ? Si ton TOTP était dans le téléphone, c&#39;est mort.Tu vois venir le problème pour l&#39;utilisateur lambda ?@zgou
       
 (DIR) Post #Awr7hugb0VXI4hSnnE by sebsauvage@framapiaf.org
       2025-08-05T09:46:10Z
       
       1 likes, 0 repeats
       
       @copain9 Je veux dire : L&#39;augmentation de sécurité apportée par les Passkeys est indéniable.Mais quand ça va partir en vrille, ça va être nettement moins rigolo qu&#39;une réinitialisation de mot de passe par email.@zgou
       
 (DIR) Post #Awr8CMSiIiFQuNUNH6 by lou_de_sel@eldritch.cafe
       2025-08-05T09:20:55Z
       
       0 likes, 0 repeats
       
       @sebsauvage Bitwarden sait gérer les passkeys avec son extension de navigateur et sur les versions d&#39;Android qui supportent l&#39;usage d&#39;un fournisseur tiers (à partir d&#39;Android 15 et si le constructeur a activé la fonctionnalité) donc on est pas entièrement bloqués encore.
       
 (DIR) Post #Awr8CNO8rCBXmUMEmu by sebsauvage@framapiaf.org
       2025-08-05T09:23:57Z
       
       1 likes, 0 repeats
       
       @lou_de_sel Oui c&#39;est possible.Mais pour 99% des gens, ça sera la solution par défaut (GAFAM).