En 2023, les mots de passe ont fait leur apparition partout. Les grandes entreprises technologiques les ont adoptés, ce qui s’est répercuté sur les petites entreprises, jusqu’à ce que les mots de passe deviennent un élément omniprésent dans toute conversation sur la sécurité. Pour donner aux clés d’accès le crédit qu’elles méritent, les meilleurs experts en sécurité conviennent que la nouvelle façon de se connecter s’accompagne d’une plus grande sécurité. Cependant, comme toutes les autres avancées en matière de sécurité, depuis l’authentification multifacteur basée sur SMS jusqu’aux clés d’authentification matérielles, l’adoption est à la traîne car les gens hésitent encore à franchir le pas.
Les clés d’accès vous permettent de vous connecter sans mot de passe. Au lieu de cela, il crée un identifiant d’authentification numérique, ou une « clé », entre votre appareil et l’endroit où vous souhaitez vous connecter pour vérifier votre identité. En pratique, cela ressemble généralement à une empreinte digitale ou à un scan du visage pour prouver qu’il s’agit bien de vous, et le reste se passe sur le backend cryptographique. La prise en charge de la nouvelle façon de se connecter a grimpé en flèche en 2023, passant d’« une poignée de sites sans utilisateurs à des centaines de sites avec des milliards de comptes » qui pourraient potentiellement se connecter à l’aide de mots de passe, selon Andrew Shikiar, directeur exécutif de l’Alliance FIDO. , l’une des organisations à l’origine de l’adoption des mots de passe.
Pour comprendre la portée de l’adoption du mot de passe par l’utilisateur final, j’ai interrogé un peu les gens. Les entreprises qui vantent la conformité des mots de passe, comme le gestionnaire de mots de passe Bitwarden, ont refusé de partager des chiffres précis sur l’adoption. Donald Hasson, directeur produit du concurrent Dashlane, a déclaré que la société enregistrait environ 20 000 connexions par mot de passe par mois, « avec une croissance doublant d’un trimestre à l’autre ». C’est impressionnant, mais il convient de noter que cela semble encore ne représenter qu’une petite fraction des utilisateurs réels de Dashlane.
L’agence de voyages Kayak a déclaré à Engadget qu’elle était complètement passée aux mots de passe à la fin de l’année dernière, ce qui est certainement une façon de pousser les gens à embarquer. Les utilisateurs peuvent utiliser une authentification unique, des mots de passe ou un e-mail pour se connecter. Il existe encore des utilisateurs de mots de passe existants, mais ils sont découragés par le fait d’être poussés à passer aux autres options lorsqu’ils tentent de se connecter, a déclaré Matthias Keller, scientifique en chef et vice-président senior de la technologie chez KAYAK. « La connexion avec Google et avec Apple est très populaire car elle reste probablement l’expérience la plus simple si vous êtes déjà connecté à ces systèmes », a déclaré Keller. « Pour la création de nouveaux comptes, nous constatons, je dirais, qu’environ les deux tiers des utilisateurs choisissent l’option du mot de passe. » Il a néanmoins refusé de partager des chiffres de connexion spécifiques. Nous avons contacté Adobe, Apple, GitHub, LinkedIn, Nintendo, PayPal, Roblox, Robinhood, TikTok et Uber au sujet de la mise en œuvre du mot de passe, mais aucun n’a répondu au moment de la publication.
Shikiar voit le passage aux clés d’accès comme la biométrie (par exemple, les empreintes digitales et l’identification faciale). Le passage aux mots de passe s’aligne davantage sur l’action unique et transparente que vous obtenez en regardant simplement votre téléphone pour le déverrouiller, et non sur les étapes maladroites de l’authentification multifacteur qui impliquent un autre appareil ou un temps supplémentaire pour accéder à un compte, a déclaré Shikiar. Bref, le problème, c’est que nous sommes coincés dans nos habitudes. Nous aimons nos mots de passe, même si on nous répète souvent qu’ils sont faillibles. La combinaison nom d’utilisateur et mot de passe est notre zone de confort pour nous connecter depuis l’aube des comptes informatiques, et les utilisateurs traîneront les pieds pour éviter tout changement. Nous l’avons constaté avec la lente adoption de l’authentification multifacteur, qui reste encore à la traîne aujourd’hui.
Les utilisateurs tardent à adopter les mots de passe, et les entreprises sont également en train de rattraper leur retard. Il est de plus en plus facile pour les petites entreprises d’adopter des clés d’accès, car elles n’ont plus besoin de mettre en place un support en interne. Par exemple, le gestionnaire de mots de passe 1Password a lancé Passage l’année dernière pour permettre aux entreprises de prendre en charge l’authentification par mot de passe sans avoir à bricoler l’infrastructure. Mais même si les clés d’accès ont fait leur chemin en principe, une année d’adoption transformatrice des clés d’accès est encore loin.
Cole Grolmus, analyste et consultant en sécurité, a expliqué pourquoi les consommateurs ont mis du temps à adopter les mots de passe en octobre. Il a décidé de remplacer autant de mots de passe que possible par des mots de passe et, bien qu’il soit en principe tout à fait d’accord avec les mots de passe, il s’est heurté à des barrages routiers après des barrages routiers. Sur les 374 applications utilisées par Grolmus, seuls 17 mots de passe sont pris en charge, ce qui l’a amené à conclure que nous serons coincés avec des mots de passe dans un avenir prévisible. « Le battage médiatique est très bien mérité », a déclaré Grolmus à Engadget. « En même temps, je pense qu’il faut simplement être réaliste quant au temps qu’il faudra pour que tout changement technologique, en particulier celui impliquant l’adoption par les consommateurs, se concrétise. »
Pourtant, les mots de passe pourraient marquer un changement dans la sécurité personnelle si nous lui laissons le temps de se mettre en œuvre. Les nouvelles façons de faire ont souvent du mal à remplacer les modèles bien ancrés auxquels nous sommes habitués, même si le nouveau paradigme est supérieur sur le papier. Au moins, les mots de passe facilitent l’expérience de connexion, au lieu d’ajouter un autre obstacle de sécurité comme nous l’avons vu avec MFA. Une fois que les gens auront compris que les mots de passe peuvent être une « expérience merveilleuse », ils feront le changement, a déclaré Grolmus.
Si vous avez la possibilité de passer aux mots de passe, cela vaut le coup. Si vous utilisez PayPal, Shopify, Uber, Roblox ou d’autres grandes sociétés (la liste est longue), vous pouvez le configurer dès aujourd’hui, mais gardez à l’esprit que la plupart des services n’ont probablement pas cette option, et peut-être pas pour quelque temps.