Symfony WebAuthn-Framework

Temps de lecture : < 1 minute

Dans ma quête de l’authentification sans mot de passe, mon chemin croise celui du bundle Webauthn Framework.

La prise en main de cette solution est assez laborieuse, de prime abord. Néanmoins, une fois le concept du WebAuthn assimilé, cela se clarifie au fil des itérations.

J’ai près de 20 heures d’étude / tâtonnement au compteur. Le temps d’apprentissage s’est, drastiquement, réduit grâce à cette vidéo.

Symfony passwordless authentication

Quelques ajustements du fait l’ancienneté de la vidéo et des changements apportés à la v5.0 du Framework.

Le module NodeJS @simplewebauthn\browser s’avère essentiel pour assurer le challenge d’authentification.

A suivre…

WordPress avec Yubikey

Temps de lecture : < 1 minute

La sécurité de l’administration WordPress se résume généralement à un couple login/mot de passe pour accéder à l’interface.

Néanmoins, nous restons sur la combinaison la plus répandue de ces deux dernières décennies.

Un nouvel acteur fait son entrée dans cette hégémonie : la clé d’accès, notamment la YubiKey.

Toujours à la recherche de solutions pour améliorer la sécurité de mes environnements, je teste, à l’heure où j’écris ce post, le plugin WP WebAuthn.

À première vue, cet outil plutôt récent me permet de me connecter en utilisant ma clé physique. Comme prévu, pourrais-je ajouter.

D’autres plugins sont disponibles, comme PasswordLess Login.

Cependant, la solution ultime consisterait à créer son propre plugin, voire à l’implémenter sur son propre site (Next.js, Symfony)…

À suivre…

Yubikey

Temps de lecture : < 1 minute

Au cours de ma carrière, j’étais au faite de la sécurité web via OpenSSH / GPG et un fervent utilisateur du gestionnaire de mots de passe « KeePass ».

J’ai découvert Yubico (éditeur des clés physiques Yubikey) sur une vidéo Youtube.

Dans un monde tributaire d’internet, le fait de confirmer son identité via un objet unique et authentique m’a séduit.

Non seulement, je peux accéder à mon coffre fort mais j’ai, de surcroit, une clé physique pour seul point d’accès.

J’ai fait l’investissement d’une clé physique de sécurité sur Amazon pour près de 60€ (assez exorbitant mais bon…).

Je me rend vite compte que cette clé est singulière, à savoir :

  • Prise en charge GPG (voire le seul à le proposer)
    • Signature GitHub
    • Signature / Chiffrement de documents
  • Accès à ma banque de mots de passe via KeePassXC
  • 2FA (Gmail, Microsoft Account, Twitter, Meta solutions, …)

Je suis en meilleure sécurité mais plus vulnérable, dans la foulée.

En effet, la simple perte de cette clé physique me fait perdre une bonne partie de mon existence. Son exploitation nécessite une compétence technique non négligeable. En somme, l’utilisateur moyen est complètement largué.

Une des solutions pour éviter l’éviction accidentel (vol, perte ou destruction) consiste à créer une « spare key ».

La Spare Key consiste à enregistrer une clé supplémentaire sur les plateformes 2FA.

Par contre, la Spare Key ne résoud pas le problème lié au signature GPG.