Clés d'accès pour WordPress : connexion sécurisée contre le phishing grâce à WebAuthn
La connexion par clé d'accès WordPress élimine le seul élément sur lequel s'appuient les pirates : un secret susceptible d'être volé par hameçonnage. ReportedIP intègre nativement les clés d'accès via WebAuthn/FIDO2 — Face ID, Touch ID, Windows Hello et YubiKey — sans aucune dépendance à Composer.
Ce guide explique pourquoi les clés d'accès sont résistantes au phishing, comment fonctionne la mise en œuvre interne de Hive et comment les proposer en complément des autres méthodes d'authentification à deux facteurs.
Qu'est-ce que ReportedIP ?
ReportedIP est un plugin de sécurité WordPress complet qui combine 12 capteurs d'attaques, quatre méthodes d'authentification à deux facteurs (2FA), un système de blocage progressif et des informations sur les menaces issues de la communauté (sur inscription). Les clés d'accès constituent l'une des quatre méthodes 2FA gratuites. L'ensemble complet des fonctionnalités ReportedIP couvre le reste.
Pourquoi les clés d'accès sont-elles plus efficaces que les codes à usage unique ?
Un code TOTP ou SMS peut être saisi sur une fausse page de connexion ; ce n'est pas le cas d'une clé d'accès. WebAuthn lie les identifiants à l'origine du site ; ainsi, l'authentificateur refuse tout simplement de valider un domaine similaire. Il n'y a aucun secret partagé à voler, aucun code à transmettre, et rien qu'un kit de phishing puisse capturer. C'est pourquoi les clés d'accès constituent le deuxième facteur d'authentification le plus sûr proposé par Hive.
Une implémentation en interne, sans dépendance vis-à-vis de tiers
La prise en charge de WebAuthn par Hive est développée en interne, y compris son propre analyseur CBOR — aucun paquet Composer n'est utilisé à cet effet. Cela permet de limiter et de contrôler les dépendances : le code de la clé d'accès est fourni dans le plugin que vous pouvez consulter sur GitHub, et non dans une boîte noire fournie par un tiers. Il fonctionne avec les authentificateurs de la plateforme (Face ID, Touch ID, Windows Hello) et les clés portables (YubiKey et autres périphériques FIDO2).
Les clés d'accès dans le cadre global de l'authentification à deux facteurs
Une clé d'accès est considérée comme un deuxième facteur d'authentification valide autre que l'e-mail ; elle permet donc de contourner le filtre de réinitialisation de mot de passe qui empêche les comptes utilisant uniquement l'e-mail de réinitialiser leur mot de passe de manière autonome. Si un utilisateur perd son appareil, les 10 codes de récupération à usage unique enregistrés lors de l'inscription lui permettent de récupérer l'accès à son compte. La protection contre les tentatives infructueuses est partagée avec le reste de la suite 2FA via la même échelle de limitation de fréquence (3/5/10/15 échecs → 30 s / 5 min / 30 min / 1 h, puis un blocage définitif).
Comment activer les clés d'accès
Activer WebAuthn sous Paramètres → Authentification à deux facteurs, puis chaque utilisateur enregistre une clé d'accès depuis son profil — le navigateur demande alors l'authentificateur de la plateforme ou la clé matérielle. Pour les flux sans interface utilisateur, les procédures d'enregistrement et de vérification sont accessibles via le reportedip-hive/v1 Espace de noms REST (/2fa/challenge, /2fa/verify, /2fa/methods).
Guides connexes
- Les quatre méthodes d'authentification à deux facteurs intégrées au cœur du système
- La double authentification (2FA) de WooCommerce intégrée au thème de la boutique en ligne
- Service géré de relais de courrier électronique et de SMS pour les solutions de secours par mot de passe à usage unique (OTP)
La documentation relative à l'authentification contient un guide de configuration étape par étape. Consultez l'intégralité des guides du pluginReportedIP ou lisez la spécification sur la page WebAuthn Level 2 du W3C.