L’API Web Authentication

Dominique Hazael-Massieux — W3C

Copyright © 2019 W3C ® (MIT, ERCIM, Keio, Beihang)

L’API Web Authentication

Dominique Hazaël-Massieux

W3C

/dev/var/23

📷 Amaranta, DSCN0556, CC-BY-NC-ND

[email protected]

W3C → Standards pour le Web
@dontcallmeDOM sur Twitter et Github
WebRTC, mobile, VR/AR/XR
DevRel @w3cdevs

Sécuriser le Web

Mots de passe, mots de casse

Deloitte Review,
A world beyond passwords:
Improving security, efficiency,
and user experience in digital transformation

Solutions?

	Usabilité	Vol	Réutilisation	Phishing	Révocation
Mot de passe	⭐✩✩	✩✩✩	✩✩✩	✩✩✩	⭐⭐✩
Gestionnaire de mdp	⭐✩✩	✩✩✩	⭐⭐⭐	✩✩✩	⭐⭐✩
2FA / OTP	⭐✩✩	✩✩✩	⭐⭐⭐	⭐✩✩	⭐⭐✩
Biométrique	⭐⭐✩	⭐⭐✩	✩✩✩	⭐⭐✩	✩✩✩
PKI	✩✩✩	⭐⭐⭐	⭐⭐✩	⭐✩✩	⭐⭐✩

WebAuthn + FIDO2

	Usabilité	Vol	Réutilisation	Phishing	Révocation
FIDO2	⭐⭐✩	⭐⭐⭐	⭐⭐⭐	⭐⭐⭐	⭐⭐✩

Rend les PKI utilisables

Ackermann Yuriy, Introduction to WebAuthn API

Demo !

Différents types de vérification locale

présence (bouton)
PIN
biométrique

(vérification purement locale)

Abandonner les mots de passe complètement ?

FIDO2 peut être utilisé comme facteur d’identification supplémentaire…
mais aussi comme facteur unique !

Adoption

Disponible Edge Firefox

En développement Safari

Sites Dropbox

Server-Side Frameworks fido2-lib (node) java-webauthn-server more

Merci

Intro to WebAuthn API - WebAuthn/FIDO2: Verifying responses

[email protected]

@dontcallmeDOM