La semaine dernière, WP Busters a publié son premier plugin intitulé WP sans mot de passe. Il s’agit d’un projet du développeur full-stack Ilya Zolotov qui permet aux utilisateurs finaux de se connecter à leurs sites Web WordPress via Touch ID, Face ID ou pin. L’objectif est de rendre l’accès à un site plus simple et plus sécurisé.

Zolotov a construit le plugin après avoir vérifié son email sur une base de données publique et trouvé d’anciens mots de passe. Il a déclaré qu’il utilisait désormais un navigateur sécurisé à des fins professionnelles sans extensions ni scripts. Il a également déclaré que les millions d’informations d’identification volées ou compromises chaque année étaient une motivation pour la création du plugin.

«J’aime cette fonctionnalité de mon ordinateur portable et je l’utilise tous les jours», dit-il. «De plus, je l’utilise pour éviter d’entrer le mot de passe ‘root’ dans le terminal à l’aide de mon doigt, c’est confortable et aucun sniffer ne peut capturer mon mot de passe.»

L’année dernière, il a décidé de vérifier la prise en charge du navigateur pour la gestion des connexions sans mot de passe, mais il était déçu que Safari sur iPhone ne prenne en charge que les clés USB externes à l’époque. Il a conclu que la technologie n’était pas encore prête.

«Dans les actualités estivales d’Apple, j’ai vu la mise à jour: l’authentificateur de plate-forme serait disponible dans iOS 14 et BigSur sur Safari, et l’authentification sans mot de passe fonctionne maintenant dans Chrome. En outre, Microsoft publiera la prise en charge de Windows Hello. 2020 est l’année sans mot de passe. Impressionnant!”

Il a ensuite commencé à travailler sur le développement de la première version en utilisant des bibliothèques cryptographiques stables et à construire une expérience utilisateur simple. Il pense que la technologie qui permet à ce plugin de fonctionner sera désormais largement supportée.

Zolotov assure aux utilisateurs qu’il s’agit d’un protocole rapide, sécurisé et certifié. Le plugin ne stocke aucune donnée personnelle sur le serveur ni aucun lien vers des services tiers.

“D’autres plugins qui utilisent SMS ou Email pour vous connecter, vous envoyer du code ou un lien”, a-t-il dit lorsqu’on lui a demandé en quoi Passwordless WP diffère des plugins similaires. “Ils vous rendent la vie plus difficile car vous devez faire plus de clics – ouvrir un e-mail et un lien, déverrouiller le téléphone, etc. Je préfère saisir un mot de passe à l’aide de mon responsable, qui utilise mon Touch ID.”

D’autres plugins utilisant la même technologie existent. WP-WebAuthn, par exemple, a quelques fonctionnalités supplémentaires et existe depuis environ sept mois.

Comment fonctionne WP sans mot de passe

Utilisation du toucher / empreinte digitale pour vous connecter à WordPress via le plugin Passwordless WP.
Connexion au site via l’empreinte digitale.

Le plugin nécessite HTTPS, sauf s’il est utilisé dans un environnement de test localhost. Il a également une exigence minimale de PHP 7.2. En dehors de cela, cela fonctionnera pour toute installation WordPress. Les connexions sans mot de passe sont gérées au niveau de l’utilisateur, ce qui signifie que chaque utilisateur d’un site WordPress doit enregistrer un jeton à partir de sa page de profil.

Le processus est simple et ne prend que quelques instants. Une fois sur l’écran du jeton d’enregistrement, les utilisateurs doivent simplement cliquer sur un bouton et choisir la méthode d’authentification à partir de leur système d’exploitation.

Enregistrement d'un jeton pour un compte utilisateur via le plugin Passwordless WP.
Enregistrement d’un jeton pour un compte utilisateur.

À partir de là, lors de la connexion au site, il vous suffit de cliquer sur un nom d’utilisateur et d’utiliser votre Touch ID ou Face ID pour vous connecter.

Ce qui suit est une vidéo rapide du plugin en action:

Mon expérience est avec Google Chrome sur Windows. La dernière version, la version 1.1.6, fonctionne bien. La version précédente avait un problème avec une extension PHP manquante lors des tests, mais l’auteur du plugin l’a corrigé rapidement et a envoyé une mise à jour une fois que je l’ai informé du problème.


Source link