On les déteste mais ils ne sont utiles, les mots de passe, difficile à retenir sont devenus le cœur de notre quotidien pour accéder à nos sites et servies internet préférés.
Mais vous le savez peut-être pas, mais les mots de passe sont en sursis et c’est bientôt la fin des mots de passe.
En effet, à l’avenir, il est possible que les mots de passe disparaissent au profit des clés d’accès ou en anglais Passkeys.
Dans cet article, je vous explique ce que sont les passkeys, comment ils fonctionnent et comment ils vont remplacer à terme les mots de passe dans votre quotidien.
Qu’est-ce que les clés d’accès
Les clés d’accès sont une nouvelle façon d’authentifier les applications et les sites Web.
Elles sont basées sur des normes élaborées par les grandes entreprises technologiques. Apple, Google et Microsoft, ainsi que d’autres géants de la technologie, travaillent avec l’alliance FIDO sur les passkeys, qui sont basés sur ce que l’on appelle la norme WebAuthn.
L’objectif est que vous puissiez vous connecter à chaque compte de la même manière que vous déverrouillez votre téléphone, avec des données biométriques ou un code PIN.
Elles peuvent être uniques pour chaque utilisateur ou partagées par un groupe d’utilisateurs ayant des niveaux de permissions similaires.
Elles peuvent être générées par des algorithmes de chiffrement ou choisies par l’utilisateur lui-même.
Jusque là, pas de grande différence avec les mots de passe.
Les principales nouveaux résident dans le fait que la responsabilité du stockage des clés d’accès est supprimée et transférée à un fournisseur de services tiers.
Il n’est pas nécessaire de demander à un gestionnaire de mots de passe de générer, de stocker et de rappeler une longue chaîne de chiffres et de lettres. Cela se fait automatiquement.
L’utilisateur doit utiliser un smartphone, un ordinateur ou une tablette pour s’authentifier.
Il suffit de contrôler le compte “parent” pour s’authentifier et obtenir l’accès. Un peu à la manière de France Connect.
Les clés d’accès : comment ça marche
D’un point de vue technique, votre appareil utilise ce que l’on appelle la cryptographie asymétrique (ou cryptographie à clé publique) pour enregistrer une clé publique, qui est ensuite stockée sur un site web pour lequel vous avez un compte, à côté d’une clé privée qui est stockée uniquement sur votre appareil.
Votre appareil crée une nouvelle clé privée pour chaque site que vous enregistrez. Lorsque vous vous connectez au site web, celui-ci vérifie si les deux clés correspondent à celle de votre appareil.
Pour permettre au site web d’accéder à cette clé, vous devez vous authentifier à l’aide des moyens que vous utilisez pour déverrouiller votre appareil, tels qu’une empreinte digitale, votre visage ou un code PIN.
Si vous vous connectez sur un appareil autre que celui que vous avez utilisé pour créer la clé. Par exemple, si vous vous connectez sur un ordinateur portable Windows pour un compte dont vous avez créé la clé sur votre iPhone – l’appareil sur lequel vous avez créé la clé doit être physiquement proche de l’appareil que vous utilisez pour vous connecter, ce que le système vérifie en scannant un code QR et en utilisant la technologie Bluetooth.
Au lieu d’avoir à se souvenir d’un mot de passe, un fournisseur de services tiers (par exemple, Google ou Apple) génère et stocke une paire de clés cryptographiques liée au domaine d’un site web. Comme vous avez accès au fournisseur de services, vous avez accès aux clés, que vous pouvez ensuite utiliser pour vous connecter.
Pourquoi les clés d’accès sont plus sûrs que les mots de passe
Les clés d’accès sont considérées comme plus faciles à utiliser que les mots de passe et nettement plus sûres.
Les mots de passe font l’objet de nombreuses attaques, comme les attaques par phishing ou encore des Trojan Stealer capable de dérober les mots de passe enregistrés sur votre ordinateur.
Comme indiqué précédemment, un passe est une entité cryptographique qui n’est pas visible par l’utilisateur et qui est utilisée à la place d’un mot de passe. Une clé se compose d’une paire de clés. En d’autres termes, une clé de chiffrement est plus sûre qu’un mot de passe standard et améliore considérablement la sécurité.
De plus, comme l’un des côtés de la clé est lié au service en ligne lui-même, elle peut protéger contre les tentatives d’hameçonnage, car votre appareil devrait reconnaître un site Web d’hameçonnage comme étant un faux.
Les partisans des Passkeys soutiennent que les mots de passe traditionnels ne sont pas sûrs.
À l’origine, les mots de passe étaient conçus comme des secrets faciles à retenir que les humains pouvaient rapidement taper dans une zone de texte. Avec l’augmentation massive du nombre d’applications et de comptes nécessitant une connexion, les gestionnaires de mots de passe ont fait leur apparition, facilitant l’enregistrement et l’utilisation des mots de passe.
Depuis lors, les gens sont encouragés à utiliser des générateurs de mots de passe aléatoires ou des chaînes de caractères aléatoires dans les mots de passe. Ces mots de passe impossibles à retenir ne peuvent pas être réutilisés sur d’autres portails, ce qui rend les gestionnaires de mots de passe d’autant plus importants. Mais la confiance dans les gestionnaires de mots de passe n’est pas toujours une partie de plaisir, et il semble que la révolution des gestionnaires de mots de passe touche à sa fin.
On l’a vu dernièrement avec les problèmes de sécurité touchant Lastpass.
De plus, les Passkeys seront également plus faciles et plus sûrs pour les opérateurs de sites web, car ils n’auront plus besoin de stocker les mots de passe, ce qui signifie qu’ils n’auront plus à s’inquiéter des violations des bases de données de mots de passe (bien qu’ils devront toujours sécuriser le reste des données qu’ils collectent).
Comment les mots de passe vont disparaître au profit des Passkeys
Les Passkeys sont une technologie universelle qui, une fois prête, devrait fonctionner sur toutes les plateformes, tous les portails et tous les navigateurs. Comme indiqué précédemment, Google, Apple et Microsoft ont confirmé qu’ils commenceraient à faciliter ce type de connexion dans un avenir proche – aucune date n’a encore été fixée.
Au sein d’une famille d’appareils, les codes d’accès sont synchronisés avec la méthode de stockage dans le nuage utilisée par votre appareil, comme iCloud Keychain sur Mac et iPhone ou Google Password Manager sur Android et ChromeOS, de sorte que si vous perdez votre appareil, ils devraient y être stockés et vous devriez pouvoir restaurer vos codes d’accès sur un nouvel appareil.
Avec les Passkeys, vous pouvez vous connecter à n’importe quel site web ou application pris en charge en vérifiant simplement votre visage, votre empreinte digitale ou en utilisant le code PIN de votre appareil.
Vous n’avez pas besoin de vous souvenir de tout cela pour utiliser les Passkeys. Ce qui est important, c’est que les clés d’accès devraient fonctionner plus ou moins de la même manière sur toutes les plateformes et qu’ils seront pris en charge dans les années à venir.
Quelques points vers la fin des mots de passe :
- Passkeys créés sur Android (en version bêta) : Ils peuvent être utilisés sur cet appareil Android et sur d’autres appareils Android synchronisés avec le même compte Google, ainsi que sur les Mac, les PC Windows (dans Edge ou Chrome) et les iPhones à l’aide de l’authentification inter-appareils (en scannant le code QR)
- Microsoft a commencé à ajouter la prise en charge sans mot de passe pour Windows 365, Azure Virtual Desktop et Virtual Desktop Infrastructure. Windows Hello devrait permettre la connexion sans mot de passe. Windows 11 23H2 vous permet également de gérer les clés enregistrées sur votre appareil Windows, en vous donnant le contrôle de la visualisation et de la suppression de n’importe quelle clé de l’appareil. Plus de détails dans ce lien
- 1Password et Dashlane ont annoncé la prise en charge des passkeys, et d’autres gestionnaires de mots de passe devraient suivre
- MacOs prend en charge les Passkeys : peuvent être utilisés sur d’autres Mac ou appareils iOS connectés avec le même identifiant Apple
- Passkeys créés dans Google Chrome : Ils sont synchronisés par l’intermédiaire du système d’exploitation, notamment via Google Password Manager sur Android et Keychain sur iOS et Mac. Actuellement, Windows ne prend pas en charge la synchronisation.
FAQ – Questions fréquentes
Les passkeys ne remplacent pas nécessairement les gestionnaires de mots de passe. Il faudra attendre longtemps avant que tous les sites web prennent en charge les clés d’accès, et vous aurez donc encore besoin de mots de passe traditionnels dans les années à venir.
Les codes d’accès sont synchronisés avec la méthode de stockage dans le nuage utilisée par votre appareil, comme iCloud Keychain sur Mac et iPhone ou Google Password Manager sur Android et ChromeOS, de sorte que si vous perdez votre appareil, ils devraient y être stockés et vous devriez pouvoir restaurer vos codes d’accès sur un nouvel appareil. Les mots de passe étant cryptés de bout en bout, les entreprises comme Apple ou Google ne peuvent pas y accéder.
Le système de keypass gère l’authentification multi-appareils.
Ainsi, si vous créez un mot de passe sur un téléphone Android, par exemple, et que vous souhaitez ensuite utiliser ce mot de passe sur un autre appareil, tel qu’un ordinateur portable Windows, l’écran du second appareil vous invitera à scanner un code QR, ce que vous pouvez faire avec votre Android ; une fois que vous aurez approuvé la connexion, vous pourrez poursuivre votre chemin.
Liens
L’article Les Passkeys ou clés d’accès qui vont remplacer les mots de passe : pourquoi et comment est apparu en premier sur malekal.com.
0 Commentaires