Le web à portée humaine
Temps de lecture : < 1 minutewp-webauthn suspendu !
Pourquoi ?
J’ai abordé le webauthn avec un plugin wordpress.
En tentant un nouveau projet wordpress, je m’aperçois que le plugin a disparu de l’annuaire des extensions.
D’abord, c’est frustrant et, ensuite, la panique s’installe.
Était il si buggé à ce point ? Était ce un trojan ?
En y regardant de plus près, je te tombe sur le lien suivant : Plugin WP-WebAuthn
En résumé, il est bloqué temporairement pour une revue complète.
A suivre…
Dans ma quête de l’authentification sans mot de passe, mon chemin croise celui du bundle Webauthn Framework.
La prise en main de cette solution est assez laborieuse, de prime abord. Néanmoins, une fois le concept du WebAuthn assimilé, cela se clarifie au fil des itérations.
J’ai près de 20 heures d’étude / tâtonnement au compteur. Le temps d’apprentissage s’est, drastiquement, réduit grâce à cette vidéo.
Quelques ajustements du fait l’ancienneté de la vidéo et des changements apportés à la v5.0 du Framework.
Le module NodeJS @simplewebauthn\browser s’avère essentiel pour assurer le challenge d’authentification.
A suivre…
La sécurité de l’administration WordPress se résume généralement à un couple login/mot de passe pour accéder à l’interface.
Néanmoins, nous restons sur la combinaison la plus répandue de ces deux dernières décennies.
Un nouvel acteur fait son entrée dans cette hégémonie : la clé d’accès, notamment la YubiKey.
Toujours à la recherche de solutions pour améliorer la sécurité de mes environnements, je teste, à l’heure où j’écris ce post, le plugin WP WebAuthn.
À première vue, cet outil plutôt récent me permet de me connecter en utilisant ma clé physique. Comme prévu, pourrais-je ajouter.
D’autres plugins sont disponibles, comme PasswordLess Login.
Cependant, la solution ultime consisterait à créer son propre plugin, voire à l’implémenter sur son propre site (Next.js, Symfony)…
À suivre…
Not your key not your coin
Anonymous
Cette citation résonne toujours et résonnera encore longtemps.
Ce fut le véritable point de départ de mon aventure Crypto en investissant, dans la foulée, une Ledger Nano S.
Youtube devient mon formateur. Je découvre un écosytème assez dense et bien fournie en français. La chaine #Hasheur devient ma référence prioritaire.
J’investis mon premier Bitcoin (BTC) sur la plateforme SwissBorg.
L’incompatibilité avec Ledger s’est vite ressenti.
En somme, l’adresse du wallet est imposé et le transfert vers Ledger devient couteux. La fameuse citation a, très vite, résonné.
La communauté Crypto étant particulièrement active sur Twitter (aka X), je me suis décidé à créer un compte et débute mes abonnements aux comptes qui me semblent fiable : #Hasheur, Le journal du coin, Cryptoast (pour commencer).
Oh surprise, je me fais aborder par un inconnu !!!
Curieux ! je tente le game de la rencontre et me rends compte que c’était un scam. J’aurais perdu près de 500€ dans l’affaire sans cette fameuse citation.
De fil en aiguille, je continue d’investir, petit à petit, mon épargne dans différentes blockchains (BTC, ETH, POLYGON, SOLANA, …) et profitant des événements « Happy Buy Day » (achat exempt de frais d’échange, hors « gase fee »).
A l’heure où j’écris cet article, mon investissement atteint les 4 chiffres.
C’est plutôt modeste.
Cependant, les plus values ont rapidement pointées.
Probablement, un coup de chance…
Au cours de ma carrière, j’étais au faite de la sécurité web via OpenSSH / GPG et un fervent utilisateur du gestionnaire de mots de passe « KeePass ».
J’ai découvert Yubico (éditeur des clés physiques Yubikey) sur une vidéo Youtube.
Dans un monde tributaire d’internet, le fait de confirmer son identité via un objet unique et authentique m’a séduit.
Non seulement, je peux accéder à mon coffre fort mais j’ai, de surcroit, une clé physique pour seul point d’accès.
J’ai fait l’investissement d’une clé physique de sécurité sur Amazon pour près de 60€ (assez exorbitant mais bon…).
Je me rend vite compte que cette clé est singulière, à savoir :
Je suis en meilleure sécurité mais plus vulnérable, dans la foulée.
En effet, la simple perte de cette clé physique me fait perdre une bonne partie de mon existence. Son exploitation nécessite une compétence technique non négligeable. En somme, l’utilisateur moyen est complètement largué.
Une des solutions pour éviter l’éviction accidentel (vol, perte ou destruction) consiste à créer une « spare key ».
La Spare Key consiste à enregistrer une clé supplémentaire sur les plateformes 2FA.
Par contre, la Spare Key ne résoud pas le problème lié au signature GPG.
