Les clés de passe sont là pour (essayer de) tuer le mot de passe. Suite au déploiement bêta de la fonctionnalité par Google en octobre, les clés d’accès arrivent maintenant sur Chrome stable M108. « Passkey » est construit sur les normes de l’industrie et soutenu par tous les grands fournisseurs de plates-formes – Google, Apple, Microsoft – ainsi que l’Alliance FIDO. Le dernier blog de Google indique : « Avec la dernière version de Chrome, nous activons les clés d’accès sur Windows 11, macOS et Android. » Le gestionnaire de mots de passe Google sur Android est prêt à synchroniser tous vos mots de passe avec le cloud, et si vous pouvez répondre à toutes les exigences matérielles et trouver un service de support, vous pouvez maintenant vous connecter à quelque chose avec un mot de passe.
Les clés de passe sont la prochaine étape dans l’évolution des gestionnaires de mots de passe. Aujourd’hui, les gestionnaires de mots de passe sont un peu un hack – la zone de texte du mot de passe était à l’origine destinée à être saisie manuellement par un humain, et vous deviez vous souvenir de votre mot de passe. Ensuite, les gestionnaires de mots de passe ont commencé à automatiser cette saisie et cette mémorisation, ce qui facilite l’utilisation de mots de passe plus longs et plus sécurisés. Aujourd’hui, la bonne façon de gérer un champ de mot de passe consiste à demander à votre gestionnaire de mots de passe de générer une chaîne de caractères indésirables aléatoires et non mémorisables à coller dans le champ de mot de passe. Le mot de passe se débarrasse de cette interface de zone de texte héritée et stocke à la place un secret, le transmet à un site Web et, s’il correspond, vous êtes connecté. Au lieu de transmettre une chaîne de texte générée de manière aléatoire, les mots de passe utilisent le « WebAuthn » standard pour générer une paire de clés publique-privée, tout comme SSH.
Si tout le monde peut comprendre les problèmes de compatibilité, les clés d’accès offrent de gros avantages par rapport aux mots de passe. Alors que les mots de passe peuvent être utilisés de manière non sécurisée avec de courtes chaînes de texte partagées sur de nombreux sites, une clé de passe est toujours appliquée pour être unique dans son contenu et sécurisée dans sa longueur. Si une violation de serveur se produit, le pirate n’obtient pas votre clé privée et ce n’est pas un problème de sécurité comme le serait un mot de passe divulgué. Les clés d’accès ne sont pas hameçonnables, et parce qu’elles nécessitent que votre téléphone soit physiquement présent (!!), certains pirates aléatoires de l’autre côté du monde ne peuvent de toute façon pas se connecter à votre compte.
Alors parlons compatibilité. Aujourd’hui, les clés d’accès nécessitent essentiellement un appareil portable, même si vous vous connectez à un PC fixe. On s’attend à ce que vous utilisiez un smartphone pour cela, mais vous pouvez également utiliser un Macbook ou un iPad. La première fois que vous configurez un compte sur un nouvel appareil, vous devez vérifier que votre appareil d’authentification (votre téléphone) se trouve à proximité de tout ce à quoi vous vous connectez. Cette vérification de proximité se produit via Bluetooth. Tous les passe-partout sont vraiment agressif pour souligner que les données sensibles ne sont pas transférées via Bluetooth – elles sont simplement utilisées pour une vérification de proximité – mais vous devrez toujours gérer les problèmes de connectivité Bluetooth pour commencer.
Lorsque vous vous connectez à un compte existant sur un nouvel appareil, vous devez également choisir l’appareil avec lequel vous souhaitez vous authentifier (probablement aussi votre téléphone) – si ces deux appareils se trouvent dans le même écosystème de grande technologie, vous verrez, espérons-le, un joli menu de l’appareil, mais sinon, vous devrez utiliser un code QR.
Deuxième gros problème : est-ce que tout le monde a attrapé cette liste d’OS en haut ? Google prend en charge Windows 11 avec des clés d’accès, et non Windows 10, ce qui rendra la vente difficile. Statcounter a Windows 11 à 16% de la base d’installation totale de Windows, avec Windows 10 à 70%. Donc, si vous créez un compte avec clé d’accès, vous ne pouvez vous connecter que sur des ordinateurs Windows plus récents.
Les clés de passe sont stockées dans le magasin de clés intégré de chaque plate-forme, c’est-à-dire Keychain sur iOS et macOS, Google Password Manager (ou une application tierce) sur Android et « Windows Hello » sur Windows 11. Certaines de ces plates-formes ont une synchronisation des clés sur tous les appareils, et certains ne le font pas. Ainsi, la connexion à un appareil Apple devrait synchroniser l’accès de vos clés d’accès à d’autres appareils Apple via iCloud, et il en va de même pour Android via un compte Google, mais pas Windows ou Linux ou Chrome OS. La synchronisation, au fait, est votre échappatoire si vous perdez votre téléphone. Tout est toujours sauvegardé sur votre compte Google ou Apple.
La documentation de Google ne mentionne généralement pas du tout Chrome OS, mais Google déclare : « Nous travaillons à l’activation des clés d’accès sur [Chrome for] iOS et Chrome OS. » Il n’y a pas encore de support pour les applications Android, mais Google y travaille également.
Maintenant que cela est réellement opérationnel sur Chrome 108 et un système d’exploitation pris en charge, vous devriez pouvoir voir l’écran du mot de passe sous la section « remplissage automatique » des paramètres Chrome (ou essayez de coller chrome://settings/passkeys dans la barre d’adresse ). Ensuite, nous aurons besoin de plus de sites Web et de services pour prendre en charge l’utilisation d’un mot de passe au lieu d’un mot de passe pour se connecter. vous ne pouvez pas encore remplacer votre mot de passe. L’exemple de passe-partout de tout le monde est le site de démonstration passkeys.io, dont nous avons une présentation ici.