Mot de passe – depuis un certain temps, c’est la première ligne de sécurité pour nos différentes formes de comptes, mais avec le recul, dans quelle mesure les mots de passe sont-ils sûrs en général ?
Nos mots de passe sont une combinaison des noms de nos animaux de compagnie, de dates importantes, d’événements clés, de noms, et ainsi de suite, ces informations pouvant être reconstituées à partir de notre présence sociale.
De plus, la nécessité d’avoir plusieurs mots de passe pour nos différents comptes afin d’éviter d’être compromis en cas de fuite a rendu la gestion des mots de passe encore plus difficile.
Le début de la fin du mot de passe – comme l’indique un billet de blog de Google. Depuis un certain temps, des discussions et des efforts ont été déployés pour mettre fin à l’ère des mots de passe, avec des entreprises de premier plan comme Google, Apple et Microsoft à l’avant-garde de l’abandon progressif de cette technologie séculaire et de son remplacement par des clés de sécurité (passkey).
Dans cet article, nous verrons ce que sont les clés de protection, en quoi elles sont meilleures et comment configurer une clé de protection sur votre compte Google, étape par étape.
Qu’est-ce qu’un passe-partout ?
Lespasseports sont un nouveau moyen d’authentification des utilisateurs, plus sûr et plus efficace que les mots de passe traditionnels. Les passkeys éliminent l’utilisation de mots de passe et de noms d’utilisateur, en supprimant l’ancienne méthode d’authentification, qui est susceptible d’être piratée, de faire l’objet d’attaques de phishing et de violations de données, entre autres menaces de sécurité, et en les remplaçant par des moyens plus sûrs.
Lisez aussi: Meilleures plateformes d’authentification des utilisateurs
Contrairement à la méthode d’authentification par mot de passe, largement utilisée, les clés d’accès éliminent le processus de mémorisation d’un mot de passe, puisqu’elles ne nécessitent pas de mot de passe. Les passkeys consistent à utiliser un code PIN, des motifs ou des capteurs biométriques tels que les empreintes digitales ou la reconnaissance faciale pour vérifier votre identité avant d’accéder à votre compte. Pour utiliser les passkeys, les utilisateurs doivent donc disposer d’appareils compatibles avec cette technologie.
Malgré les conseils des experts en sécurité sur l’utilisation de mots de passe forts et de mots de passe uniques pour chaque compte qu’un utilisateur possède, les utilisateurs utilisent encore des mots de passe faibles et utilisent un seul mot de passe pour plusieurs plateformes, ce qui augmente encore les vulnérabilités liées au système de mot de passe.
C’est pourquoi le World Wide Web Consortium (W3C) et FIDO Alliance, une association qui a ouvert la voie à la réduction de la dépendance à l’égard des mots de passe, ont mis au point les passkeys.
L’utilisation des clés passe-partout a été développée en raison des failles de sécurité qui ont été exploitées dans la technologie existante des mots de passe. Ces failles ont conduit à l’adoption de l’authentification à deux facteurs, qui est censée servir de deuxième niveau de sécurité et d’identification avant qu’un utilisateur n’accède à son compte, et à l’adoption généralisée des gestionnaires de mots de passe pour aider les utilisateurs à garder une trace des différents mots de passe qu’ils ont pour plusieurs comptes.
Comment fonctionnent les Passkeys ?
Les Passkeys s’appuient sur une API d’authentification basée sur le web, WebAuthn. L’authentification Web utilise une clé publique et une clé privée, connue sous le nom de cryptographie à clé publique, pour s’assurer que l’utilisateur est bien le propriétaire d’un compte.
Contrairement aux mots de passe traditionnels, toute personne possédant votre mot de passe peut se connecter et accéder à votre compte depuis n’importe où. Un passkey utilise un moyen strict de s’assurer que vous êtes bien la personne que vous êtes.
Le passkey se compose de deux clés, la clé publique et la clé privée. Ces deux clés sont essentielles car elles fonctionnent ensemble à la manière d’un puzzle pour déverrouiller et vérifier l’identité de l’utilisateur. La clé publique est et peut être stockée sur n’importe quel site web ou application pour lequel vous créez un passe, tandis que la clé privée, comme son nom l’indique, est stockée en toute sécurité et n’est accessible qu’à partir de l’appareil utilisé lors de la création du passe.
La clé privée n’est pas accessible et n’est pas stockée sur une plateforme basée sur le nuage, ce qui la rend difficile à pirater et rend la clé de passe plus sûre. En termes simples, vous souhaitez vous connecter à votre compte Google à l’aide d’un mot de passe.
N’oubliez pas que votre mot de passe se compose de deux clés. Google envoie un défi crypté à votre appareil ; n’oubliez pas que Google possède maintenant votre clé publique.
Lorsque votre appareil reçoit la demande chiffrée, vous devez déverrouiller votre téléphone à l’aide d’un code PIN, d’un motif ou d’un identifiant facial, ce qui permet de signer la demande avec votre clé privée et de renvoyer la demande signée à Google.
Google la vérifie alors à l’aide d’une copie de la clé publique. Si les deux clés correspondent, la demande chiffrée est déchiffrée et Google sait qu’il s’agit de vous. En y regardant de plus près, le passkey fonctionne de la même manière que le 2FA, mais en mieux.
Pourquoi les passkeys sont-ils meilleurs ?
Mieux et plus fort que les mots de passe
Les passkeys utilisent la cryptographie à clé publique, un moyen plus sûr d’authentifier un utilisateur. Elles sont plus résistantes au phishing et à d’autres formes d’attaques que les authentifications par mot de passe. Votre clé privée n’est jamais partagée dans le nuage, ce qui garantit que vous êtes le seul à pouvoir accéder à votre compte.
Pratique
Contrairement aux mots de passe, vous devez toujours vous en souvenir jusqu’aux majuscules et aux points. Avec Passkey, vous pouvez compter sur un capteur biométrique pour confirmer votre identité, qui gère l’envoi et l’authentification de votre identité et vous libère enfin de l’obligation d’oublier votre mot de passe.
Possibilité de zéro violation
Bien que vous ayez besoin de la clé publique et de la clé privée pour vérifier votre identité et sachant que votre clé publique est stockée publiquement sur le nuage du site web, en cas de violation, la clé publique ne peut pas être inversée pour accéder à votre clé privée, ce qui rend votre compte toujours impénétrable.
Expérience utilisateur améliorée
Passkey, comme nous l’avons mentionné, aide à éliminer le besoin de se souvenir continuellement de tous vos mots de passe et élimine le risque d’oublier un mot de passe et de perdre l’accès à votre compte, ce qui rend l’authentification plus conviviale et plus transparente.
Configuration de Passkey sur votre compte Google
Google a annoncé la mise en œuvre de Passkey lors de la Journée mondiale du mot de passe en 2022. Actuellement, les utilisateurs ont la possibilité d’activer l’option Passkey pour remplacer l’authentification par mot de passe. Dans cette section, nous allons passer en revue un guide étape par étape pour activer Passkey sur votre compte Google existant.
- Rendez-vous sur myaccount.google.com ou cliquez sur l’image de votre compte dans le coin droit de la page de recherche du navigateur.
- Cliquez ensuite sur “Sécurité” dans le panneau de gauche.
- Allez à “Comment vous connecter à Google” et cliquez sur “Clés de sécurité“.
- Sélectionnez le bouton “Utiliser les clés de sécurité” ou créer une clé de sécurité pour créer votre clé de sécurité. Suivez les instructions pour terminer la configuration de votre appareil.
- Vous avez terminé !
Vous avez enfin activé Passkey et vous n’avez plus besoin de mot de passe.
Activer Passkey sur mobile (Android)
- Allez dans “Paramètres“.
- Tapez sur Google.
- Tapez sur “Gérer votre compte Google“.
- Allez dans Sécurité.
- Faites défiler jusqu’à Passkey et tapez dessus.
- Tapez sur Utiliser la clé et suivez les instructions.
- Vous êtes prêt à utiliser Passkey.
Le mot de passe est-il mort ?
À ce stade, l’adoption de cette nouvelle technologie, comme toute autre, nécessitera du temps. Par conséquent, pour l’instant, nous nous attendons à ce que les mots de passe soient encore largement utilisés par la majorité, mais au fur et à mesure que de plus en plus d’entreprises adoptent la tendance sans mot de passe et l’utilisation de Passkey. Les mots de passe pourraient finir par disparaître.
Conclusion
Les passkeys sont une technologie bienvenue, la clé publique étant la serrure qui est accessible au public mais qui ne peut être déverrouillée que par la personne possédant la bonne clé (clé privée), qui est gardée secrète. À long terme, les avantages de l’absence de mot de passe avec les Passkeys l’emporteront sur ses inconvénients.
Les entreprises adoptant de plus en plus les passkeys comme moyen d’authentification, de plus en plus de personnes les adopteront une fois qu’elles en auront pleinement compris les avantages.