Une nouvelle ère de l’authentification résistante au phishing : sécuriser l’accès Dashlane avec les clés de sécurité FIDO2

Dashlane est pionnier d'un nouveau Standard d'authentification transparente et résistante au phishing pour l'accès au coffre-fort d'identifiants.

Nous sommes fiers de vous annoncer que nous avons combiné notre première connexion sans mots de passe sur le marché aux clés de sécurité FIDO2, la meilleure protection disponible contre les attaques par phishing. Il existe maintenant une nouvelle façon de sécuriser la partie la plus sensible de votre vie numérique : votre coffre-fort d'identifiants.

Dashlane est le premier gestionnaire d'identifiants à activer les clés de sécurité FIDO2 comme facteur d'authentification principal pour l'accès au coffre-fort, tirant parti de l'innovation de WebAuthn PRF. Une clé de sécurité FIDO2 est un appareil physique, tel qu'une clé USB, de Yubico, Google Titan et d'autres. FIDO2 est la même technologie sous-jacente utilisée pour les clés d'accès, les identifiants résistants au phishing remplacant progressivement les mots de passe.

Nous rendons l'accès à vos données les plus sensibles plus facile et plus sûr. Que vous soyez un particulier ou une entreprise, la sécurité avancée et résistante au phishing de Dashlane protège les éléments de votre coffre-fort.

Cela signifie :

« L'utilisation des clés de sécurité FIDO par Dashlane pour fournir un accès sécurisé et sans mots de passe à leur coffre-fort marque une étape essentielle dans la sécurité numérique », a déclaré Andrew Shikiar, directeur exécutif et PDG de l'Alliance FIDO. « En utilisant les puissants standards ouverts de FIDO pour le stockage des clés d'accès dans le coffre-fort et maintenant pour y accéder en toute sécurité, Dashlane fait preuve d'un engagement énorme à protéger les données les plus sensibles de ses utilisateurs d'une manière à la fois pratique et résistante au phishing. »

Les utilisateurs du forfait individuel peuvent obtenir un accès anticipé et être parmi les premiers à déverrouiller leur Coffre-fort en utilisant une clé de sécurité FIDO2 comme principal moyen de se connecter. Cette innovation sera disponible plus tard cette année pour les particuliers et les entreprises.

Malgré les progrès de l'authentification, le phishing reste extrêmement efficace. Les solutions d'authentification multifacteur traditionnelles, même celles qui utilisent des codes uniques ou des notifications push, sont vulnérables à des attaques par phishing de plus en plus intelligentes, souvent générées par l'IA. Même les meilleurs experts en sécurité peuvent être trompés, comme Troy Hunt en a récemment fait l'expérience. Les conséquences peuvent être coûteuses.

Nous devons aller au-delà des mesures palliatives et adopter un modèle qui élimine complètement le vecteur du phishing.

Saisir les normes FIDO2, WebAuthn et CTAP. Ces normes, développées par l'Alliance FIDO (dont nous sommes fiers d'être membres du conseil d'administration) et le groupe de travail W3C WebAuthn, sont conçues à partir de zéro pour mettre fin au phishing.

Pour cela, elles s'appuient sur la cryptographie à clé publique, éliminent les secrets partagés et lient l'identifiant à son origine. Ainsi, même si un utilisateur est amené à visiter un faux site, ses identifiants ne peuvent tout simplement pas être utilisés.

Le coffre-fort de votre gestionnaire d'identifiants Dashlane est une passerelle vers tous les autres comptes que vous possédez. La sécuriser n'est pas négociable. 

Dashlane est un leader dans l'avancement d'un futur sans mots de passe et dans la sécurisation complète des identifiants. Nous avons été le premier gestionnaire de mots de passe à prendre en charge les clés d'accès sur toutes les plateformes, et nous continuons à innover pour maximiser la sécurité et la commodité des clés d'accès.

Nous avons également été les premiers à permettre un accès sans mots de passe facile et multiplateformesau Coffre-fort, ce qui élimine l'utilisation d'un mot de passe Maître.

Sur cette base, Dashlane a créé un nouveau modèle dans lequel l'accès à votre coffre-fort peut être protégé par une authentification matérielle et résistante au phishing utilisant les clés de sécurité FIDO2 comme facteur principal.

Notre solution utilise l'extension WebAuthn PRF (fonction pseudo-aléatoire) pour dériver les clés de chiffrement localement, liant l'accès au coffre-fort à la possession de la clé et à l'achèvement de la vérification de l'utilisateur.

Si le PRF n'est pas pris en charge par la plateforme ou le navigateur, nous recourons à un flux sécurisé sans mots de passe qui utilise un appareil provisionné pour transférer en toute sécurité la clé de chiffrement, combiné à un flux WebAuthn classique.

Notre objectif est que tout le monde puisse accéder à n'importe quel service ou produit en ligne de manière facile et sécurisée sans craindre d'être victime de phishing. La création d'une connexion sans mots de passe pour Dashlane a été la première étape de ce parcours. 

La sécurité n'est qu'une partie de l'équation, la convivialité est tout aussi importante. Notre approche est conçue pour fournir une expérience transparente avec nos améliorations à venir :

Pour un accès vraiment sans frictions et sans risques de phishing, ne cherchez pas plus loin.

Nous pensons que c'est l'avenir de l'authentification, non seulement pour Dashlane, mais aussi pour l'ensemble de l'écosystème de la sécurité. En nous alignant sur des normes ouvertes telles que FIDO2, nous jetons les bases d'une gestion des identifiants résistante au phishing dès sa conception.

Notre vision est simple : faire en sorte que l'authentification la plus sécurisée soit la plus facile à utiliser.