Les mots de passe sont généralement la première ligne de défense dans nos vies numériques. Cependant, ils risquent d'être hameçonnés, de faire l'objet de fuites de données et même de souffrir d'une mauvaise hygiène des mots de passe. Google est conscient de ces problèmes depuis longtemps, c'est pourquoi elle a créé des moyens de défense comme la vérification en deux étapes et le Gestionnaire de mots de passe Google.
Pour faire face aux menaces de sécurité de manière plus simple et plus pratique, Google opte et évolue vers une authentification sans mot de passe. C'est là que les clés de passe entrent en jeu. Selon Google, les clés de passe sont un substitut beaucoup plus sûr aux mots de passe et aux autres facteurs d'authentification susceptibles d'être piratés. Ils ne peuvent pas être réutilisés et protègent les utilisateurs contre les attaques de phishing. Les clés de passe reposent sur des normes industrielles et fonctionnent sur différents systèmes d'exploitation et écosystèmes de navigateurs, et peuvent être utilisés pour les sites Web et les applications.
Les clés de passe suivent des modèles d'interface utilisateur déjà connus et s'appuient sur l'expérience existante de la saisie automatique de mot de passe. Pour les utilisateurs finaux, l'utilisation d'un mot de passe est similaire à l'utilisation d'un mot de passe enregistré aujourd'hui, où ils confirment simplement avec le verrouillage de l'écran de leur appareil existant, comme leur empreinte digitale. Les clés de passe sur les téléphones et les ordinateurs des utilisateurs sont sauvegardés et synchronisés via le cloud pour éviter les verrouillages en cas de perte de l'appareil.
En outre, les utilisateurs peuvent utiliser les clés stockées sur leur téléphone pour se connecter à des applications et des sites Web sur d'autres appareils. Une clé de passe est une identité unique stockée sur un ordinateur, téléphone ou tout autre périphérique, comme une clé de sécurité USB. Pour les sites Web ou les applications qui ont mis en œuvre l'API de clé de passe, elle peut permettre de se connecter par le biais d'une confirmation simple et rapide associée à la biométrie de l’appareil ou à une autre authentification sécurisée.
Les clés de sécurité sont excellentes pour la sécurité, car elles ne nécessitent pas de mot de passe qui pourrait être divulgué. Et comme toutes les grandes entreprises technologiques comme Apple, Google et Microsoft collaborent pour adopter la technologie (et le nom), l'expérience devrait devenir indépendante des appareils. La technologie repose sur la norme FIDO, qui utilise la cryptographie à clé publique, ce qui rend possible l'aspect multiplateforme.
- Les utilisateurs peuvent créer et utiliser des clés sur les appareils Android, qui sont synchronisées de manière sécurisée via le gestionnaire de mots de passe Google ;
- Les développeurs peuvent intégrer la prise en charge des clés de sécurité sur leurs sites pour les utilisateurs finaux utilisant Chrome via l'API WebAuthn, sur Android et d'autres plateformes prises en charge.
Google permet également de synchroniser les mots de passe d'Android vers d'autres appareils via le gestionnaire de mots de passe de l'entreprise ou un gestionnaire tiers qui le prend en charge, comme 1Password ou Dashlane.
L'utilité des clés de passe dans Chrome et dans d'autres navigateurs dépendra de la mise en œuvre par les sites de l'API WebAuthn pour accepter les clés de passe. Certains magasins en ligne comme Best Buy l'ont déjà fait, et des services comme PayPal l'ont également activé.
Avec la dernière version de Chrome, Google active les clés d'accès sur Windows 11, macOS et Android. Sur Android, les clés seront synchronisées de manière sécurisée via Google Password Manager ou, dans les futures versions d'Android, tout autre gestionnaire de mots de passe prenant en charge les clés. Une fois que vous avez enregistré une clé de passe sur votre appareil, elle peut s'afficher dans le remplissage automatique lorsque vous vous connectez pour vous aider à être plus sûr.
Sur un appareil de bureau, vous pouvez également choisir d'utiliser une clé d'accès à partir de votre appareil mobile à proximité. Comme les clés d'accès reposent sur des normes industrielles, vous pouvez utiliser un appareil Android ou iOS.
Un mot de passe ne quitte pas votre appareil mobile lorsque vous vous connectez de cette manière. Seul un code généré de manière sécurisée est échangé avec le site. Ainsi, contrairement à un mot de passe, il n'y a aucun risque de fuite. Pour permettre le contrôle des clés de sécurité, à partir de la version M108 de Chrome, il est possible de gérer vos clés de sécurité à partir de Chrome sur Windows et macOS.
PayPal a annoncé qu'il ajoutait les clés de passe comme méthode de connexion facile et sécurisée pour les comptes PayPal. PayPal est l'une des premières sociétés de services financiers à mettre les clés de passe à la disposition de ses utilisateurs. Cette norme de sécurité d'avant-garde est importante car les passkeys répondent à l'un des plus grands problèmes de sécurité sur le web, à savoir la faiblesse de l'authentification par mot de passe. Plus de 2,6 milliards d'enregistrements ont été piratés en 2017 et, parmi ces piratages, on estime que 81 % ont été causés par le vol et la devinette de mots de passe.
Pour que les clés de sécurité fonctionnent, les développeurs doivent intégrer la prise en charge des clés de sécurité sur leurs sites à l'aide de l'API WebAuthn. Depuis des années, nous collaborons avec d'autres acteurs du secteur, notamment Apple et Microsoft, les membres de l'Alliance FIDO et le W3C, afin de définir des normes d'authentification sécurisée.
Source : Chromium Blog
Et vous ?
Quel est votre avis sur le sujet ?
Trouvez-vous nécessaire l'abandon des mots de passe au profit des clés de passe ?
Voir aussi :
Google lance Passkeys pour Android pour encourager les usagers à ne plus utiliser de mot de passe, afin de réduire la fréquence des usurpations d'identité
PayPal lance les Passkeys, conçus pour remplacer les mots de passe, permettant une connexion facile et sécurisée pour les consommateurs