WebAuthn, Passkeys, and the End of Passwords

· Fonctionnalités

WebAuthn est le authentification layer de la FIDO2 standard. Instead de depending on user‑remembered secrets, it employs asymmetric cryptography. During registration, a user's authenticator (hardware key, secure enclave, TPM, etc.) generates a private–clé publique pair scoped vers le relying party domain. Le browser sends le clé publique et attestation data to le serveur, qui stores them as a credential record. La clé privée never leaves l'utilisateur's device. 

Authentification Flow

When logging in, le serveur issues a random challenge. Le browser forwards ce challenge vers le authenticator, qui verifies user presence (par ex. button press), facultatifly enforces user verification (PIN, biométrique), et signs le challenge avec le stored clé privée. Le server validates le signature utilisant le previously registered clé publique et ensures le authenticator's sign counter a increased, protecting against cloned keys. 

Passkeys

Passkeys extend WebAuthn credentials by enabling cross‑device availability. Operating systems synchronize credentials through end‑to‑end encrypted cloud storage. A passkey peut être unlocked utilisant le device's local authentification méthode (Touch ID, Face ID, Windows Hello, Android biométrie) et used across browsers et devices. This removes le friction de remembering ou typing anything, tandis que maintaining hardware‑backed security. 

Avantages over Passwords

  1. Phishing Resistance – Le authenticator binds each credential vers un specific origin; a phishing site ne peut pas trick it into signing a challenge pour un different domain.
  2. No Shared Secrets – Without a password database, le risk de credential leaks est drastically reduced. Even si a server's credential store est compromised, le attacker seulement gets clé publiques.
  3. Better UX – Users simply confirm a biométrique prompt ou touch a security key. Cross-device passkeys eliminate password resets et typing erreurs.
  4. Strong Multi‑factor – WebAuthn peut satisfy "something tu have" (the authenticator) et "something tu are/know" (biométrique ou PIN) dans un single gesture, achieving strong MFA avec minimal effort.
  5. Resistance to Replay et Credential Stuffing – Challenges are single use, et clé privées ne peut pas be reused across services, thwarting replay attacks et credential stuffing.