Passkeys Finom : Révolutionner la sécurité bancaire

Want to learn how top banks deploy passkeys? Get our 80-page Banking Passkeys Report (incl. ROI insights). Trusted by JPMC, UBS & QNB.

Get Report

Les services bancaires modernes exigent une sécurité de premier ordre tout en simplifiant la vie des clients. C'est pourquoi Finom, une fintech pionnière basée à Amsterdam, a fait un grand pas en avant en introduisant les passkeys comme nouvelle méthode d'authentification principale pour son application web. Témoignant de son esprit d'innovation, la mise en œuvre des passkeys par Finom ne se contente pas de remettre en question le paradigme traditionnel du mot de passe (+ MFA classique par SMS OTP), elle répond aussi à la demande croissante d'expériences utilisateur plus sûres, pratiques et respectueuses de la vie privée. Cet article de blog explore les aspects techniques et les avantages pour l'utilisateur de l'implémentation des passkeys par Finom. Il explique pourquoi cette approche pourrait marquer le début d'une nouvelle ère pour les passkeys dans le secteur bancaire et les services financiers.

Les passkeys représentent un changement de paradigme dans l'authentification. Ils abandonnent les systèmes basés sur des mots de passe vulnérables au profit d'une authentification plus sûre et résistante au phishing. L'application web de Finom adopte cette technologie, permettant aux utilisateurs de s'authentifier via divers appareils : ordinateurs, smartphones ou clés de sécurité matérielles (par exemple, les YubiKeys), prenant ainsi en charge les authentificateurs multiplateformes / itinérants.

Finom has introduced passkeys

Join them

Finom garantit une large accessibilité en s'alignant sur les normes de l'industrie en matière de compatibilité des navigateurs et des systèmes d'exploitation. Les versions de navigateur suivantes prennent en charge les passkeys (selon la FAQ officielle sur les passkeys de Finom) :

• Chrome (v105+)
• Safari (v16+)
• Edge (v105+)

Contrairement à la FAQ officielle sur les passkeys de Finom, l'authentification par passkey a également fonctionné lors de nos tests sur la dernière version de Firefox (v122) sur Windows 11 23H2 et macOS Sonoma 14.2.1.

Concernant la prise en charge des systèmes d'exploitation en général, pour les ordinateurs de bureau, nous avons testé avec succès l'authentification par passkey sur Windows 11 et macOS Sonoma (aucune version minimale du système d'exploitation n'est indiquée dans la FAQ).

Les utilisateurs d'appareils mobiles doivent s'assurer que leurs systèmes sont mis à jour vers iOS 16+ ou Android 9+ pour une prise en charge complète des passkeys. La bonne nouvelle, c'est que la majorité des appareils mobiles (plus de 94 %) prennent déjà en charge les passkeys.

Le processus de création de passkeys chez Finom prend en charge toute la gamme des passkeys, en utilisant divers modes de transport, notamment USB, NFC, BLE, hybride et des options internes. Cette flexibilité garantit que les utilisateurs disposent de plusieurs options d'authentification, adaptées à leurs préférences personnelles ou à leurs besoins situationnels.

Quelques aspects à souligner des paramètres du serveur WebAuthn et de l'analyse approfondie des PublicKeyCredentialCreationOptions :

{
    "attestation": "direct",
    "authenticatorSelection": {
        "residentKey": "discouraged",
        "userVerification": "required"
    },
    "challenge": "JWi0v7X1X-O1UvXB_I5q2A",
    "excludeCredentials": [
        {
            "id": "ARt1Ba2haVHZNrw8FhKLc_V1LFMVdrsHbezmQ8jMP59lXscBnkTLxABNNR9dd499EG5PWY0VYSFtbui_XmYeJtM",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "CaRVt041w10I948-OS6TBtAyVOUdak03b6BUyev3S3e7xOH99pS9GLgTURasdNH4HgKkazUmT0ejDbVpuDhAtQ",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "3nOhnTkXXdyiBAfC60K7E_-OgKwwk57uewpwGCgJe44",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        }
    ],
    "pubKeyCredParams": [
        {
            "alg": -7,
            "type": "public-key"
        },
        {
            "alg": -257,
            "type": "public-key"
        },
        {
            "alg": -37,
            "type": "public-key"
        },
        {
            "alg": -35,
            "type": "public-key"
        },
        {
            "alg": -258,
            "type": "public-key"
        },
        {
            "alg": -38,
            "type": "public-key"
        },
        {
            "alg": -36,
            "type": "public-key"
        },
        {
            "alg": -259,
            "type": "public-key"
        },
        {
            "alg": -39,
            "type": "public-key"
        },
        {
            "alg": -8,
            "type": "public-key"
        }
    ],
    "rp": {
        "id": "app.finom.co",
        "name": "app.finom.co"
    },
    "user": {
        "displayName": "Vincent Delitz",
        "id": "dmluY2RlbGl0aaBhb2wuY29t",
        "name": "vincent@corbado.com"
    }
}

• Utilisation du paramètre excludeCredentials pour éviter de créer un nouveau passkey sur un appareil qui en possède déjà.
• L'ID de la partie de confiance (Relying Party ID) est défini sur app.finom.co pour garantir une authentification sécurisée et spécifique au domaine.
• L'attestation directe (direct) exige que les appareils fournissent des déclarations d'attestation, prouvant ainsi l'authenticité des informations d'authentification.
• La userVerification est requise, garantissant ainsi que seul l'utilisateur légitime peut lancer le processus d'authentification.
• Le découragement des residentKeys car l'interface utilisateur conditionnelle (Conditional UI) n'est pas encore déployée. Cependant, le comportement de la création de passkey dépend beaucoup des authentificateurs et de leur prise en compte de la valeur des residentKeys (voir cet article). De plus, Finom aurait en fait intérêt à créer dès maintenant des residentKeys pour une future prise en charge de la Conditional UI. D'un autre côté, cette décision permet d'économiser de l'espace de stockage sur les clés de sécurité matérielles (par exemple, les YubiKeys), car elles ont souvent une capacité limitée pour les residentKeys.

Les PublicKeyCredentialRequestOptions sont tout aussi importantes, facilitant le processus d'authentification avec des configurations qui garantissent flexibilité et sécurité :

PublicKeyCredentialRequestOptions.json
{
    "allowCredentials": [
        {
            "id": "ARt1Ba2haVHZNrw8FhKLc_V1LFMVdrsHbezmQ8jMP59lXscBnkTLxABNNR9dd499EG5PWY0VYSFtbui_XmYeJtM",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "CaRVt041w10I948-OS6TBtAyVOUdak03b6BUyev3S3e7xOH99pS9GLgTURasdNH4HgKkazUmT0ejDbVpuDhAtQ",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "3nOhnTkXXdyiBAfC60K7E_-OgKwwk57uewpwGCgJe44",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        }
    ],
    "challenge": "s4R8Fsy7iSxxWIgUr7iTLA",
    "rpId": "app.finom.co",
    "userVerification": "discouraged"
}

• Les allowCredentials sont définies (toutes les informations d'identification sont définies indépendamment de l'appareil utilisé comme client par l'utilisateur) pour s'assurer que seuls les passkeys enregistrés peuvent être utilisés.
• La userVerification est déconseillée, ce qui est intéressant lors de la cérémonie de connexion, car elle est requise lors de la cérémonie de création de passkey.

Un aspect avant-gardiste de l'implémentation des passkeys par Finom est le potentiel de partage de passkeys inter-appareils. En analysant les fichiers d'association fournis sur https://app.finom.co/.well-known/assetlinks.json pour Android et https://app.finom.co/.well-known/apple-app-site-association pour iOS, il devient évident que Finom prépare le terrain pour une intégration transparente des passkeys entre ses applications web et mobiles natives. L'ajout de la prise en charge du partage inter-appareils, par exemple en utilisant votre passkey macOS de l'application web également dans l'application native iOS via la synchronisation du Trousseau iCloud, peut être rapidement ajouté. Cette initiative promet d'améliorer encore l'expérience utilisateur en permettant une authentification sans effort sur différentes plateformes et appareils.

Au cœur de l'implémentation des passkeys de Finom se trouve un engagement à prioriser trois aspects fondamentaux : une sécurité inégalée, une simplicité sans pareille et une confidentialité des données sans compromis.

• Sécurité : Le système de passkeys de Finom est conçu pour créer une barrière contre les cybermenaces. Contrairement aux mots de passe conventionnels, les passkeys sont connectés de manière sécurisée à l'appareil de l'utilisateur et au domaine vérifié de Finom, éliminant pratiquement le risque de phishing et d'accès frauduleux.
• Simplicité : La simplicité de l'authentification par passkey de Finom se manifeste par son processus de connexion instantané. En utilisant Face ID, Touch ID ou Windows Hello, les utilisateurs peuvent accéder à leurs comptes en quelques secondes, sans avoir à taper des mots de passe complexes. Ce processus d'authentification simplifié améliore non seulement le confort de l'utilisateur, mais réduit aussi considérablement les temps de connexion, établissant une nouvelle norme de facilité d'accès dans le secteur bancaire.
• Confidentialité des données : Finom accorde la plus haute priorité à la confidentialité et à la sécurité des données des utilisateurs. En employant un système où les passkeys restent liés à l'appareil de l'utilisateur, Finom garantit que les informations personnelles, y compris les données biométriques, restent sous le contrôle de l'utilisateur et ne sont jamais partagées avec le serveur. Cette approche protège non seulement la vie privée des utilisateurs, mais leur donne également l'assurance que leurs informations personnelles et financières sont protégées contre les accès non autorisés et les violations.

Sur de nouveaux appareils, l'utilisateur doit confirmer la création du passkey soit dans l'application native Finom iOS / Android via une notification push, soit en utilisant un lien magique par e-mail. Tant que la confirmation n'est pas fournie, l'utilisateur ne peut pas créer de passkey.

Confirmez la demande de création de passkey par e-mail :

Alternativement, vous pouvez confirmer la demande de création de passkey via une notification push (ici, l'application native Android) :

Une fois le passkey créé avec succès, cette fenêtre contextuelle s'affichera :

Finom simplifie l'expérience de connexion en faisant des passkeys la méthode d'authentification par défaut (passkey-first) une fois que l'adresse e-mail de l'utilisateur est saisie et que l'utilisateur clique sur Continuer (aucun champ de mot de passe n'est affiché par défaut). Cette approche directe améliore l'expérience utilisateur en éliminant les choix inutiles et en dépriorisant les mots de passe. Cependant, l'absence de Conditional UI marque un domaine potentiel d'amélioration future.

Lors de l'annulation du flux de connexion par passkey dans la fenêtre contextuelle du passkey, l'utilisateur reçoit l'avertissement suivant :

Si l'utilisateur décide de cliquer sur Réessayer, le flux de connexion par passkey redémarre et la fenêtre contextuelle des passkeys (par exemple, Face ID, Touch ID, Windows Hello) apparaît, permettant à l'utilisateur de scanner à nouveau ses données biométriques.

Si l'utilisateur décide de cliquer sur Essayer une autre méthode, il est redirigé vers l'ancienne connexion avec les champs de saisie de l'adresse e-mail et du mot de passe :

Finom déconseille fortement l'utilisation d'appareils non privés ou accessibles au public pour l'authentification par passkey (par exemple, dans les bibliothèques publiques). Le risque inhérent à de tels appareils réside dans leur accessibilité ; toute personne pouvant déverrouiller l'appareil (que ce soit par un mot de passe, un verrouillage d'écran ou des données biométriques comme les empreintes digitales ou la reconnaissance faciale enregistrées sur l'appareil) a le potentiel de s'authentifier en votre nom et d'accéder à votre compte.

Conscient de la réalité multi-appareils des utilisateurs d'aujourd'hui, Finom prend en charge l'authentification inter-appareils (transport hybride) à l'aide de la lecture de QR code et des vérifications de proximité Bluetooth. Cette fonctionnalité permet une expérience d'authentification fluide sur différents appareils, facilitant une connexion transparente à partir d'un passkey stocké sur un appareil mobile tout en essayant d'accéder à Finom depuis un ordinateur de bureau (voir aussi cet article pour plus de détails sur l'authentification inter-appareils avec les passkeys).

Finom a introduit des fonctionnalités intuitives de gestion des passkeys qui permettent aux utilisateurs de personnaliser et de contrôler leurs méthodes d'authentification. Ces fonctionnalités, y compris la possibilité de renommer et de supprimer des passkeys, reflètent une profonde compréhension de la nécessité de flexibilité et de sécurité dans la gestion de l'accès numérique.

• Plusieurs passkeys pour différents appareils : Finom recommande la création de plusieurs passkeys sur les appareils des utilisateurs. Cette approche garantit un accès ininterrompu aux services de Finom via les passkeys, pour une expérience multi-appareils transparente.
• Prévention intelligente des doublons : En tirant parti du paramètre excludeCredentials dans les PublicKeyCredentialCreationOptions, Finom empêche la création de passkeys en double sur le même appareil. Cette mesure améliore non seulement la sécurité, mais rationalise également l'expérience utilisateur en garantissant que chaque appareil dispose d'un passkey unique.
• La confirmation de suppression de passkey nécessite une authentification par passkey : Avant la suppression d'un passkey, les utilisateurs doivent authentifier l'action à l'aide d'un passkey. Cette couche de sécurité supplémentaire souligne l'importance que Finom accorde à la protection de l'accès des utilisateurs et garantit que seul le propriétaire légitime peut effectuer des changements aussi importants.

Notez que la logique de détection d'icônes n'est pas aussi intelligente qu'il y paraît au premier abord. J'ai stocké les passkeys pour le Gestionnaire de mots de passe Google sur mon Android, mais il est affiché comme Windows. Il en va de même pour les authentificateurs multiplateformes / itinérants comme les YubiKeys qui ne sont par nature pas liés à un système d'exploitation particulier.

Après la création réussie d'un passkey, l'utilisateur recevra une notification par e-mail :

Si l'utilisateur doit réinitialiser son mot de passe, non seulement la liaison de l'appareil de l'application native iOS / Android est supprimée, mais tous vos passkeys le sont également. Pour être plus précis, les clés publiques des passkeys sont supprimées côté serveur, rendant impossible une connexion avec des passkeys (même après avoir restauré la liaison de l'appareil). Les clés privées du passkey résident sur l'appareil mais sont inutiles pour les tentatives de connexion ultérieures.

L'implémentation des passkeys par Finom n'est pas seulement une question d'amélioration de la sécurité et de l'expérience utilisateur ; c'est une démarche stratégique visant à réaliser des économies par rapport aux systèmes traditionnels de SMS OTP et à se positionner comme une fintech moderne, axée sur le numérique, confiante pour concurrencer les banques et les institutions financières traditionnelles. La conception actuelle du système est prometteuse, avec une marge d'expansion vers la prise en charge des applications natives, le déploiement de la Conditional UI et les confirmations de transactions via les passkeys.

En s'éloignant des SMS OTP — une méthode historiquement entachée de failles de sécurité — Finom jette les bases d'avantages majeurs dans sa stratégie d'authentification et de MFA. Cette transition atténue non seulement les risques associés aux SMS OTP, mais s'aligne également sur la mission de Finom d'exploiter une technologie de pointe pour protéger les données des utilisateurs, améliorer l'expérience utilisateur bancaire et réaliser des économies substantielles sur les coûts de la MFA via SMS OTP.

Lors de nos tests, nous avons identifié quelques domaines majeurs d'amélioration :

• Étendre le support des passkeys aux applications natives : Reconnaissant l'omniprésence des services bancaires mobiles, Finom déploiera, espérons-le, bientôt le support des passkeys à ses applications natives iOS et Android, ce qui serait également conforme à sa stratégie axée sur le mobile. En tant qu'utilisateur, en particulier venant d'un ordinateur de bureau macOS, la connexion sur l'application iOS d'un iPhone utilisant le même Trousseau iCloud connecté peut être considérablement simplifiée par rapport à l'expérience de connexion actuelle.
• Authentification uniquement par passkey : Au fil du temps, nous nous attendons également à ce que Finom promeuve les passkeys comme le premier et unique facteur sur les appareils compatibles avec les passkeys. Cela inclut également la création de nouveaux comptes avec les passkeys comme seule forme d'authentification (avec quelques solutions de secours en guise de sauvegarde).
• Mise en œuvre de la Conditional UI : L'introduction de la Conditional UI serait une autre optimisation majeure pour l'expérience utilisateur qui s'est avérée être un grand succès pour l'adoption des passkeys chez d'autres acteurs.
• Utiliser les passkeys pour la confirmation de paiement : Lors de nos tests, nous avons également effectué un paiement test pour vérifier si la confirmation de paiement fonctionne également avec les passkeys. Cependant, Finom utilise toujours les notifications push de l'application native et les SMS OTP pour la confirmation (ce dernier étant un facteur de coût substantiel). Cela pourrait être à des fins réglementaires, mais nous espérons que les passkeys pourront également être utilisés ici à l'avenir.

Become part of our Passkeys Community for updates & support.

Join

Une question reste en suspens dans la stratégie de passkeys de Finom : quelle est la position de Finom sur la conformité à la DSP2 et à l'authentification forte du client (SCA) avec les passkeys ? Cette question n'a généralement pas été entièrement abordée, mais il aurait été intéressant d'en savoir plus sur la perspective de Finom à ce sujet. Pour plus d'informations et de réflexions sur la conformité des passkeys à la DSP2, consultez cet article de blog.

Le déploiement des passkeys par Finom est un excellent exemple pour le secteur bancaire et des services financiers, montrant comment les fintechs peuvent être à la pointe de l'adoption de mesures de sécurité avancées qui répondent aux besoins des utilisateurs modernes. En fournissant une analyse détaillée du système de passkeys de Finom, cet article de blog vise à aider d'autres développeurs de logiciels, chefs de produit et spécialistes de la sécurité à en apprendre davantage sur la mise en œuvre des passkeys dans le secteur financier et bancaire.