Depuis l’an dernier, 1Password permet de protéger son coffre-fort numérique avec un deuxième facteur d’authentification, qui prend la forme d’un code TOTP à six chiffres. Ce procédé est désormais commun, mais impose d’utiliser une application pour générer les codes. 1Password offre désormais une autre solution, les clés de sécurité compatibles U2F, par l’entremise du nouveau standard d’authentification WebAuthn.
Comme un code TOTP, la clé joue le rôle de second facteur d’authentification, après le mot de passe. La clé doit être préalablement enregistrée et liée au compte 1Password, une procédure impliquant WebAuthn, le nouveau standard d’authentification sur le web. Le navigateur fait le lien entre le serveur et la clé, assurant la sécurité de l’authentification.
Dans le cas du gestionnaire de mots de passe, le serveur de 1Password génère un « jeton » unique, puis le transmet au navigateur avec quelques données supplémentaires. Le navigateur envoie le tout à la clé, qui renvoie une réponse signée. Le serveur vérifie cette réponse : si les données décodées correspondent bien aux données envoyées, et que la signature correspond bien à la clé publique de l’appareil, l’authentification est validée.
WebAuthn est intégré aux navigateurs Firefox 60+, Chrome 67+ et ses dérivés Opera et Edge, et sera intégré à Safari 13. Nous avons testé cette fonction avec une clé Yubikey 5C, mais n’importe quelle clé compatible U2F fera l’affaire, comme les clés Titan et Feitian. Avec Chrome 70+, vous pourrez aussi utiliser le capteur Touch ID des MacBook Pro/Air. Une application d’authentification reste nécessaire sur les anciens navigateurs et 1Password pour macOS/iOS.
