Connexion à Moning avec une Passkey

b44822e2d4f9c2d42b16e258b41001ff6ee1ef35-1502x9881502×988 58.7 KB

Bonjour les amis !

Depuis la création de Moning, mon parti pris est d’utiliser les dernières technologies mais aussi de volontairement faire l’impasse sur d’anciennes pratiques obsolètes.

Depuis le départ il n’y a pas de connexion par mot de passe sur Moning. Les mots de passe ont beaucoup de désavantages : ils sont souvent réutilisés, ils peuvent être piratés et se retrouver dans des bases publiques, etc.

Depuis le départ nous mettons en avant les connexions sociales en proposant l’accès via les gros fournisseurs (Apple, Google, etc.).

Je suis très content de vous annoncer que Moning gère désormais la connexion par Passkey ! Les Passkeys sont tout simplement les remplaçants sécurisés des mots de passe. Et gros avantage : c’est une solution ouverte et qui est gérée par la totalité des navigateurs actuels (Chrome, Safari, Firefox, Brave, etc.), sur mobile et ordinateur.

En gros : vous vous connectez normalement sur Moning, puis vous générez une Passkey en 1 seul clic. Cette Passkey est de base sauvegardée sur le navigateur que vous utilisez mais certains systèmes, comme ceux d’Apple ou Google, vous proposent de la sauvegarder dans le cloud pour permettre de la réutiliser sur d’autres périphériques.

Certains porte-feuilles numériques de mots de passe (1Password, Bitwarden, etc.) gèrent aussi les Passkeys et vous permettent de les réutiliser facilement entre différents appareils.

Une fois la Passkey Moning créée, la connexion se fait en 1 clic, en totale sécurité et sans passer par un service externe.

C’est la solution idéale pour tous et quel que soit votre fournisseur d’email.

Pour l’instant il est possible de créer une Passkey depuis votre Profil utilisateur en cliquant sur “Enregistrer une Passkey”.

Screenshot 2025-09-17 at 19.10.311290×1096 90.9 KB

Incroyable !

Toujours à la pointe !

Super initiative !

Il parait que la passkey est plus sécurisée qu’un mot de passe mais personnellement je reste sceptique.

Un mot de passe, “c’est ce que je sais”, c’est dans ma tête et ma tête est difficilement hackable.

Là finalement je comprends que n’importe qui ayant accès à mon PC ou à la passkey (via le stockage cloud) pourra se connecter. Donc le critère “ce que je possède” ou “ce que je suis” (biométrie) ne semble plus respecter.

Je suis de la même façon sceptique avec les applications mobiles, notamment bancaire, sécurisés via la biométrie (ce que je suis) et le mobile (ce que je possède) : Endormi, on peut ouvrir mon smartphone et l’app grâce à mon empreinte digitale par exemple.

Aujourd’hui, j’ai l’impression qu’une application est vraiment sécurisée avec les trois critères.

Une passkey est réellement plus sécurisé pour plusieurs raisons:

1. Si ta base de donnée leak, il n’y aura que ta clé publique qui tombera, ta clé privée reste sur ton gestionnaire de mot de passe.

2. Plus simple pour te connecter, un clic.

3. Ton passkey est lié au domaine. Si un attaquant essaie de te piéger, ton passkey refusera de générer une signature car le domaine ne correspond pas.

4. La plupart du temps, les utilisateurs réutilisent leur mdp, ce qui fait que si le site leak des mots de passes, ce sont plusieurs comptes qui tomberont avec contrairement à ta passkey. Sans compter que les mots de passes généralement utilisé sont faible voir très faible..

@halkira : j’aurais pas dit mieux

J’entends ces arguments mais je ne les comprends toujours pas.

1/ un gestionnaire de mot de passe peut aussi se faire hacker non ? Si la clé privée reste sur le terminal (pc, mobile) et est lié au terminal, je comprends le principe mais à partir du moment où ce n’est pas le cas, je ne vois pas l’intérêt

2/ Je m’en fous de la simplicité. Je préfère la sécurité
Je me déconnecte toujours des sites importants par exemple. Je n’utilise jamais Google, Facebook ou autres pour me connecter.

3/ Quel domaine ? celui du site visité ? Ce que je veux empêcher c’est qu’un hacker ne puisse pas se connecter au domaine en question justement.

4/ J’utilise des mots de passe différents et forts.

@d11

On est dans la sécurité informatique et aucun système n’est inviolable.

Le problème des mots de passe est que pour obtenir un niveau de sécurité “satisfaisant”, il est nécessaire que l’utilisateur ait un mot de passe différent pour chaque site ou plateforme qu’il utilise. Il faut que chaque mot de passe soit long, avec mélange de majuscules, caractères spéciaux, etc.

Même si la plateforme A ne se fait PAS pirater en 1er, il suffit qu’une plateforme B se fasse pirater pour que potentiellement la plateforme A se fasse pirater des comptes car plus de la moitié des utilisateurs réutilisent le même mot de passe au moins 2 fois, voir plus.

En gros avec les mots de passe tu laisses tes utilisateurs déterminer eux-même leur niveau de sécurité, tu as un système où tu sais à l’avance que plus de la moitié de tes utilisateurs n’ont pas un niveau de sécurité “satisfaisant”.

Et c’est à cause de cela que la plupart des plateformes doivent mixer mot de passe et authentification double facteur !

Avec les passkeys tu supprimes cette nécessité d’authentification double facteur. De base elles procurent un niveau de sécurité très important car basées sur le mécanisme cryptographique clé privée / clé publique. Et donc cela fait que tu inverses le risque : tu passes d’un système où la plupart des utilisateurs n’ont pas un niveau de sécurité satisfaisant à la majorité.

Il est infiniment préférable que la sécurité des Passkeys soient gérées par des ingénieurs en sécurité informatique (ceux qui développent les navigateurs, wallets, etc.) que de laisser la sécurité être impactée par le niveau de compétence et d’hygiène informatique des utilisateurs, dont beaucoup ne sont pas des experts comme on sait.

Dans ce cas là les passkeys sont clairement au top pour ce que je viens de dire. Sans compter plein d’autres avantages : chaque Passkey est encodée sur une bonne centaine d’octets voir plus, c’est comme si tu avais un mot de passe de plus de 100 caractères aléatoire pour chaque site, sans avoir à les retenir. Et le système est future-proof dans le cas où les ordinateurs quantiques arrivent à maturité, les algorithmes seront mis à jour au fur et à mesure pour contrer les attaques quantiques éventuelle. Difficile de faire pareil pour de simples mot de passe de quelques caractères .

A part l’adoption qui prend du temps (les utilisateurs doivent comprendre le système, les développeurs doivent l’implémenter, etc.), je vois très peu de désavantage à ce système, qui en plus est “open source” et désormais bien pris en charge par tous les navigateurs.