Google fait un grand pas vers notre avenir soi-disant sans mot de passe en activant les comptes Google avec mot de passe uniquement. Dans l’article de blog intitulé « Le début de la fin du mot de passe », Google déclare : « Nous avons commencé à déployer la prise en charge des clés d’accès pour les comptes Google sur toutes les principales plates-formes. Ce sera une option supplémentaire que les gens pourront utiliser pour connectez-vous, ainsi que les mots de passe, la vérification en 2 étapes (2SV), etc. » Auparavant, vous pouviez utiliser une clé d’accès avec un compte Google dans le cadre de l’authentification à deux facteurs, mais cela a toujours été en plus de Un mot de passe. Il est désormais possible d’utiliser un compte Google avec un mot de passe au lieu de Un mot de passe.
Un mot de passe, si vous n’avez pas entendu parler de la nouvelle méthode d’authentification, est une nouvelle façon de se connecter aux applications et aux sites Web et peut un jour remplacer un mot de passe. La saisie du mot de passe a commencé comme une simple zone de texte pour les humains, et ces zones de texte ont lentement été automatisées et compliquées à mesure que le désir d’une sécurité accrue est arrivé. Alors que vous aviez l’habitude de taper un mot mémorisé dans un champ de mot de passe, aujourd’hui, la bonne façon d’utiliser un mot de passe consiste à demander à un gestionnaire de mots de passe de coller une chaîne de caractères aléatoire dans la zone de mot de passe. Étant donné que peu d’entre nous tapons physiquement nos mots de passe, les clés d’accès suppriment la boîte de mot de passe.
Les clés de passe permettent à votre système d’exploitation d’échanger directement des paires de clés publiques-privées – la norme « WebAuthn » – avec un site Web, et c’est ainsi que vous êtes authentifié. La démonstration de Google sur la façon dont cela fonctionnera sur un téléphone a fière allure : la boîte habituelle demande votre nom d’utilisateur Google, puis au lieu d’un mot de passe, elle demande une empreinte digitale, ce qui déverrouille le système de clé d’accès, et vous êtes connecté.
La prise en charge sans mot de passe de Google est actuellement destinée aux appareils grand public, tandis que les comptes professionnels Google Workspace auront « bientôt » la possibilité d’activer les clés d’accès pour les utilisateurs finaux.
Les clés d’accès ne sont toujours pas prêtes pour les heures de grande écoute
Même avec Google qui mise sur les clés de sécurité, cela ne signifie pas qu’elles sont prêtes pour une adoption généralisée. Premièrement, certaines plates-formes (Windows/Linux/Chrome OS) ne sont pas aussi avancées que d’autres (macOS/iOS/Android). Le site officiel passkeys.dev a une page utile qui suit la préparation plate-forme par plate-forme, et il reste encore un long chemin à parcourir. Il serait terrible de ne pas pouvoir accéder à votre compte Google avec clé d’accès sur Chrome OS, ce qui vous bloquerait probablement jusqu’à ce que vous reveniez à un mot de passe.
Le deuxième problème ne semble pas être résolu de sitôt, et c’est que les clés de sécurité se synchronisent via votre écosystème du système d’exploitation, et non via un navigateur, ce qui représente une régression majeure sur le fonctionnement des mots de passe. Aujourd’hui, si j’ajoute un mot de passe à Chrome sous Windows, ce mot de passe sera instantanément disponible partout où Chrome est installé, comme un téléphone Android, un MacBook, un iPhone, un Chromebook, etc., mais les clés de passe ne fonctionnent pas comme ça.
Pour citer la page FIDO Alliance, les clés de passe sont « synchronisées avec tous les autres appareils de l’utilisateur exécutant la même plate-forme de système d’exploitation » [emphasis ours]. Cela signifie que si j’ajoute une clé d’accès à Chrome sous Windows, cette clé d’accès entre dans le magasin de clés d’accès du fournisseur du système d’exploitation, celui de Microsoft, et ne se synchronise qu’avec d’autres systèmes d’exploitation Microsoft. Si vous utilisez exclusivement des appareils Apple, tout se synchronisera et vous ne remarquerez aucune différence. Le reste d’entre nous devra passer par un processus de transfert par code QR et Bluetooth pour que nos informations d’identification fonctionnent sur Windows et Android ou Android et Linux, ou toute autre combinaison multi-OS-fournisseur. Les entreprises Big Tech en charge des clés de passe ne semblent pas intéressées à les rendre aussi transparentes et pratiques que les mots de passe, et ce sera un obstacle majeur à leur ubiquité.
1Password confirme tout ce gâchis de synchronisation : « Actuellement, les clés de sécurité sur d’autres plates-formes nécessitent que vous utilisiez un appareil du même écosystème pour vous authentifier. La synchronisation avec d’autres systèmes d’exploitation ou le partage de clés de sécurité nécessite des solutions de contournement fastidieuses, comme les codes QR, ce qui entraîne un processus plus compliqué. et une expérience moins sécurisée. » Il n’est pas clair si des applications comme 1Password ont été invitées à la fête du mot de passe Big Tech. 1Password dit avoir rejoint l’Alliance FIDO, mais la page de mot de passe de 1Password contient également une vidéo indiquant que les mots de passe n’étaient pas assez ouverts. La vidéo dit : « Les solutions d’aujourd’hui ne tiennent pas cette promesse d’ouverture et d’interopérabilité. Si vous créez un mot de passe sur votre iPhone ou votre appareil Android aujourd’hui, il est à peu près piégé. Ce n’est pas facile à partager, déplacez-le vers une autre plate-forme ou synchronisez-le. avec votre gestionnaire de mots de passe préféré. Nous pouvons faire mieux. Et c’est pourquoi nous sommes ravis de vous montrer à quoi pourrait ressembler l’avenir, si la technologie sans mot de passe était plus ouverte.
La page de mot de passe de 1Password contient beaucoup de termes « pourrait » et « devrait », mais la société travaille sur une sorte de solution qui sortira « cet été ». Même si l’entreprise parvient à résoudre le problème de la synchronisation des clés d’accès pour sa propre application, une telle régression multiplateforme majeure dans la configuration par défaut – ce que la plupart des gens utiliseront – limitera sérieusement l’attrait des clés d’accès.
Image de l’annonce par Google