Qu'est-ce que la CDA (Authentification multi-appareils) dans WebAuthn ?

Qu'est-ce que la CDA (Authentification multi-appareils) ?#

La CDA (Authentification multi-appareils ou Cross-Device Authentication) permet aux utilisateurs d'utiliser une clé d'accès d'un appareil pour s'authentifier sur un autre, facilitant ainsi un accès fluide sur diverses plateformes. Cette approche innovante repose sur le protocole Client-to-Authenticator Protocol (CTAP) de FIDO, qui utilise un mécanisme de transport « hybride ». CTAP fait partie intégrante du processus de CDA, étant implémenté par les authentificateurs et les plateformes clientes plutôt que par les parties d'appui (relying parties), garantissant ainsi une expérience d'authentification sécurisée et efficace.

Vous pouvez également lire un rapport détaillé sur l'authentification multi-appareils dans cet article de blog.

Points clés#

---

La CDA (Authentification multi-appareils) est importante pour offrir aux utilisateurs une expérience fluide lors de l'accès à des services sur plusieurs appareils. Elle s'articule autour de deux composants clés : le client CDA (CDA Client) et l'authentificateur CDA (CDA Authenticator).

• Le client CDA est l'appareil à partir duquel le service est consulté (par exemple, un ordinateur portable, un ordinateur de bureau ou un smartphone).
• L'authentificateur CDA est l'appareil qui fournit la clé d'accès et génère l'assertion FIDO (généralement un smartphone ou une tablette). Cette dualité garantit que les flux d'authentification restent sécurisés et conviviaux.

Plongée au cœur des mécanismes de la CDA#

L'authentification multi-appareils (CDA) intègre les codes QR et le Bluetooth pour fournir un mécanisme d'authentification polyvalent et sécurisé. Les codes QR facilitent les processus d'authentification simples et initiés par l'utilisateur en permettant un balayage rapide pour établir les demandes d'authentification. Le Bluetooth ajoute une couche de sécurité en garantissant la proximité physique entre les appareils impliqués. Cette double approche combine la facilité d'utilisation avec des mesures de sécurité robustes, s'adaptant à divers environnements et scénarios d'utilisation.

Authentification par code QR#

• Initiation : Un code QR unique est généré sur l'appareil nécessitant l'authentification, encodé avec un identifiant de session.
• Processus : Les utilisateurs scannent le code QR avec un appareil qui stocke leur clé d'accès, déclenchant un processus d'authentification sécurisé via une connexion Internet chiffrée.
• Fonctionnalités de sécurité : Le code QR est conçu pour un usage unique et chiffre toutes les données pour se protéger contre les accès non autorisés.

Authentification Bluetooth (caBLE)#

• Rôle : Confirme la proximité physique entre les appareils d'authentification, ajoutant une couche de sécurité supplémentaire.
• Vérifications de proximité : Garantit que le processus d'authentification n'est effectué que lorsque les appareils sont proches l'un de l'autre, minimisant ainsi le risque d'attaques à distance.
• Confidentialité et sécurité : N'implique pas l'échange de données d'authentification sensibles, se concentrant plutôt sur la confirmation de la proximité en tant que facteur de l'authentification multifacteur.

Connexion tunnel via Internet#

• Activation : Activée lors de la lecture d'un code QR ou de l'établissement d'une connexion Bluetooth.
• Objectif : Facilite la transmission sécurisée des données d'authentification, y compris les défis et réponses cryptographiques.
• Sécurité : Garantit que toutes les communications passant par le tunnel sont chiffrées, renforçant la sécurité sur plusieurs appareils.

Clés d'accès synchronisées vs Authentification multi-appareils#

Les clés d'accès sont généralement synchronisées entre les appareils via des comptes cloud (par exemple, le trousseau iCloud d'Apple), garantissant qu'elles sont facilement disponibles pour l'authentification, quel que soit l'appareil utilisé. Cette synchronisation est sécurisée par un chiffrement avancé et est protégée par des données biométriques ou des codes PIN, avec des mécanismes en place pour empêcher les accès non autorisés, tels que la limitation du débit pour les tentatives de connexion.

Bien que les clés d'accès synchronisées offrent de la commodité, elles peuvent ne pas toujours être accessibles sur de nouveaux appareils ou sur des appareils non principaux. L'authentification multi-appareils relève ce défi en fournissant un pont sécurisé pour les clés d'accès entre les appareils, sans avoir besoin d'une synchronisation par compte cloud. Cette méthode exploite les codes QR pour initier l'authentification et le Bluetooth pour vérifier la proximité des appareils, garantissant une expérience sécurisée et conviviale. Un cas d'utilisation de l'authentification multi-appareils est, par exemple, la connexion à un compte sur l'appareil d'un ami, où il n'est pas possible d'utiliser des clés d'accès synchronisées.

Disponibilité sur les systèmes d'exploitation#

Vous pouvez utiliser ce tableau pour voir la prise en charge actuelle de l'authentification multi-appareils sur différents systèmes d'exploitation. Un authentificateur désigne l'appareil qui peut servir de dispositif contenant une clé d'accès (généralement le smartphone). Le client désigne l'appareil qui crée le code QR et sur lequel l'utilisateur essaie de se connecter (généralement l'ordinateur de bureau).

Comportement sur différents appareils#

Il est important de prendre en compte les différents comportements des appareils dans le contexte de la CDA. L'expérience d'authentification peut varier en fonction des capacités matérielles d'un appareil, telles que la présence d'un appareil photo pour le scan de codes QR ou du Bluetooth pour les vérifications de proximité. De plus, les systèmes d'exploitation peuvent implémenter la CDA différemment, affectant la façon dont les utilisateurs initient et terminent le processus d'authentification. Les développeurs qui implémentent la CDA doivent tenir compte de ces variabilités, garantissant une expérience utilisateur fluide et sécurisée sur tous les appareils. Voir un rapport détaillé sur les différents comportements des appareils dans cet article de blog.

---

FAQ sur l'authentification multi-appareils (CDA)#

Est-il sûr de partager des clés d'accès entre appareils ?#

Le partage de clés d'accès utilise des mesures de sécurité robustes pour protéger les données. Cette approche est essentielle pour remplacer les mots de passe par une alternative plus sécurisée et plus conviviale, s'alignant sur la mission de FIDO d'améliorer les processus de connexion en termes de rapidité, de commodité et de sécurité.

Quelle est la disponibilité de la CDA sur les différentes plateformes de systèmes d'exploitation ?#

L'authentification multi-appareils (CDA) devient rapidement disponible sur un large éventail de systèmes d'exploitation et de navigateurs, à mesure que la prise en charge des clés d'accès est introduite. Un aperçu de la disponibilité est disponible sur ce site Web.

Comment les clés d'accès deviennent-elles disponibles sur les différents appareils d'un utilisateur ?#

Les clés d'accès sont synchronisées entre les appareils grâce à des mécanismes chiffrés de bout en bout liés au compte de plateforme de l'utilisateur (par exemple, identifiant Apple, compte Google). Cela garantit que les clés d'accès créées sur un appareil sont facilement disponibles sur tous les autres appareils connectés au même compte, facilitant un accès simple et sécurisé dans tout l'écosystème numérique de l'utilisateur.

CDA vs Clés d'accès synchronisées - Quelle est la différence ?#

Le transport hybride permet une authentification sécurisée entre les appareils sans avoir besoin que les clés d'accès soient synchronisées via un compte cloud, offrant une certaine flexibilité et maintenant l'intégrité des clés d'accès uniquement chez l'utilisateur.

Pourquoi la CDA utilise-t-elle à la fois les codes QR et le Bluetooth ?#

La CDA utilise les codes QR et le Bluetooth pour améliorer la sécurité et la commodité. Les codes QR simplifient l'initiation de l'authentification, tandis que le Bluetooth garantit la proximité physique des appareils, ajoutant une couche de sécurité supplémentaire.

La CDA peut-elle fonctionner sans connexion Internet ?#

Bien que la CDA nécessite une connexion Internet pour le processus de configuration initiale et d'authentification, la vérification de proximité Bluetooth pour l'authentification ne dépend pas d'une connexion Internet, ce qui améliore sa polyvalence.

Quels sont les prérequis matériels pour utiliser la CDA ?#

Les appareils doivent prendre en charge WebAuthn, disposer d'un appareil photo pour le scan de codes QR, prendre en charge le Bluetooth 4.0 ou supérieur pour caBLE, et maintenir une connexion Internet stable pour faciliter efficacement le processus CDA.

À propos de Corbado

Corbado est la Passkey Intelligence Platform pour les équipes CIAM qui gèrent l'authentification client à grande échelle. Nous vous montrons ce que les logs IDP et les outils d'analytics génériques ne voient pas : quels appareils, versions d'OS, navigateurs et gestionnaires de credentials prennent en charge les passkeys, pourquoi les enrôlements ne deviennent pas des connexions, où le flux WebAuthn échoue et quand une mise à jour OS ou navigateur casse silencieusement la connexion — le tout sans remplacer Okta, Auth0, Ping, Cognito ni votre IDP interne. Deux produits : Corbado Observe ajoute l'observabilité pour les passkeys et toute autre méthode de connexion. Corbado Connect apporte des passkeys managés avec analytics intégrés (aux côtés de votre IDP). VicRoads gère les passkeys pour plus de 5M d'utilisateurs avec Corbado (+80 % d'activation passkey). Parler à un expert Passkey →