La prochaine étape de Google vers un avenir sans mot de passe est ici avec l’annonce que les clés d’accès – une nouvelle solution de clés cryptographiques qui nécessite un appareil pré-authentifié – arrivent sur les comptes Google sur toutes les principales plates-formes. À partir d’aujourd’hui, les utilisateurs de Google peuvent passer aux clés d’accès et abandonner complètement leurs mots de passe et codes de vérification en deux étapes lors de la connexion.
Les clés d’accès sont une alternative plus sûre et plus pratique aux mots de passe poussés par Google, Pomme, Microsoft et d’autres entreprises technologiques alignées sur l’Alliance FIDO. Ils peuvent remplacer les mots de passe traditionnels et d’autres systèmes de connexion tels que la vérification 2FA ou SMS par un code PIN local ou la propre authentification biométrique d’un appareil, comme une empreinte digitale ou Face ID. Ces données biométriques ne sont pas partagées avec Google (ou tout autre tiers) et les clés d’accès n’existent que sur vos appareils, ce qui offre une sécurité et une protection accrues car aucun mot de passe ne pourrait être volé lors d’une attaque de phishing.
Les comptes Google vous demanderont votre mot de passe pour vous connecter ou vérifier votre identité lorsqu’ils détecteront une activité sensible
Lorsque vous ajoutez un mot de passe à un compte Google, la plate-forme commencera à vous le demander lorsque vous vous connecterez ou lorsqu’elle détectera une activité potentiellement suspecte nécessitant une vérification supplémentaire. Les clés d’accès aux comptes Google sont stockées sur n’importe quel matériel compatible – tels que les iPhones exécutant iOS 16 et les appareils Android exécutant Android 9 – et peuvent être partagés avec d’autres appareils à partir du système d’exploitation à l’aide de services comme iCloud ou de gestionnaires de mots de passe comme Dashlane et 1Password (qui devrait arriver au « début 2023 »).
Vous pouvez toujours utiliser l’appareil de quelqu’un d’autre pour accéder temporairement à votre compte Google. La sélection de l’option « utiliser un mot de passe d’un autre appareil » crée une connexion unique et ne transfère pas le mot de passe vers le nouveau matériel. Comme le note Google, vous ne devez jamais créer de clés de passe sur un appareil partagé, car toute personne pouvant accéder à cet appareil et le déverrouiller pourrait accéder à votre compte Google.
Les utilisateurs peuvent révoquer immédiatement les clés d’accès dans les paramètres du compte Google s’ils soupçonnent que quelqu’un d’autre peut accéder au compte ou s’ils perdent le seul appareil qui a stocké la clé d’accès. Google dit que les utilisateurs inscrits dans son Programme de protection avancéeun service gratuit qui fournit des protections de sécurité supplémentaires contre le phishing et les applications malveillantes, peuvent choisir d’utiliser des clés d’accès au lieu de leurs clés de sécurité physiques habituelles.
« Nous sommes ravis de l’annonce de Google aujourd’hui, car elle fait évoluer considérablement l’adoption des clés de sécurité en raison à la fois de la taille de Google et de l’étendue de la mise en œuvre réelle, qui permet essentiellement à tout titulaire de compte Google d’utiliser des clés de sécurité », a déclaré Andrew Shikiar, directeur. directeur de FIDO Alliance, dans un communiqué. « Je pense également que cette mise en œuvre servira d’exemple pour d’autres fournisseurs de services et constituera un point de basculement pour l’adoption accélérée des clés de sécurité. »
Il faudra un certain temps pour que la prise en charge des clés d’accès soit largement adoptée, de sorte que les comptes Google continueront de prendre en charge les méthodes de connexion existantes telles que les mots de passe dans un avenir prévisible. Cela donne aux personnes qui n’ont peut-être pas actuellement accès à un appareil prenant en charge l’authentification biométrique le temps de passer à la nouvelle technologie. Il semble que Google est prévoyant de passer éventuellement entièrement aux clés de sécurité, cependant, en encourageant les utilisateurs à faire le changement maintenant et en écrivant dans son blog qu’il examinerait d’autres méthodes de connexion « à mesure que les clés de sécurité gagneraient en support et en familiarité ».
L’annonce d’aujourd’hui fait suite à de plus petites implémentations de clés de sécurité par Google. En décembre de l’année dernière, le navigateur Chrome de Google a obtenu la prise en charge des clés de sécurité, mais les sites et services pris en charge par les clés de sécurité sont encore relativement rares. Il est donc difficile de se passer entièrement de mot de passe pour le moment. 1Password a une page indiquant quel sites et services prennent en charge les clés d’authentification, et j’espère que la technologie d’authentification sera adoptée plus rapidement maintenant que des entreprises comme Google adoptent plus pleinement un avenir sans mot de passe.