Les clés d’accès promettent un avenir sans mots de passe, où nous accédons à nos comptes aussi facilement que nous déverrouillons nos téléphones, avec un niveau de sécurité beaucoup plus élevé. Choisissez votre gros poison technologique, comme Apple, Google ou Microsoft, et vous l’avez probablement vu annoncer une prise de contrôle par passe-partout. Bien qu’une révolution complète des clés de sécurité soit un peu loin, il se peut que l’on vous demande d’en configurer une prochainement pour vos comptes.
L’approche du nom d’utilisateur et du mot de passe pour les connexions remonte aux années 1960. Depuis lors, il est piratable. Les mots de passe sont devinables ou hameçonnables, surtout si vous ne respectez pas les normes de l’industrie pour un mot de passe complexe et fort. Pendant un certain temps, la solution semblait être l’authentification multifacteur, ou un moyen de vérifier votre identité lors de la connexion via un SMS, une application, une clé matérielle ou d’autres méthodes. Mais les partisans de la clé d’accès disent que résoudre les problèmes de sécurité de connexion signifie réinventer la première étape, et non ajouter des processus supplémentaires.
« C’est le plus proche de quelque chose qui peut être mis à l’échelle pour se débarrasser des mots de passe que nous ayons jamais vu », a déclaré Megan Shamas, directrice principale du marketing à l’association industrielle FIDO Alliance. Une clé d’accès est un identifiant d’authentification numérique qui est stocké en toute sécurité sur votre appareil. Au lieu de ce que Shamas a appelé une méthode de mots de passe « secret partagé », les clés d’accès sont une paire de clés unique pour chaque service en ligne que vous utilisez lié au domaine. Ainsi, si vous en créez un pour votre compte bancaire en ligne et qu’un site Web falsifié vous invite à vous connecter, le mot de passe ne fonctionnera pas.
Il empêche également les attaques de phishing car vous ne pouvez pas donner votre mot de passe comme vous le pouvez avec un mot de passe ou une phrase MFA. Nous ne pouvons pas l’appeler « anti-hameçonnage », a déclaré Derek Hanson, vice-président de l’architecture des solutions et des alliances chez la société d’authentification de sécurité Yubico, mais cela contrecarre certainement les vecteurs d’attaque courants utilisés aujourd’hui. À tout le moins, cela rend l’accès à un pirate beaucoup plus coûteux et difficile, ce qui rend les pirates susceptibles de se déplacer vers des cibles plus faibles.
Pour l’utilisateur, ils sont également censés être plus faciles. Au lieu d’essayer de garder une trace de près de 100 mots de passe ou plus, le mot de passe est stocké sur votre appareil et se connecte automatiquement au service. Semblable au déverrouillage de votre téléphone, vous devrez entrer un code PIN, une empreinte digitale, un scan du visage ou une autre authentification simple pour vous connecter. Cela semble trop beau pour être vrai, et c’est en quelque sorte, car il s’agit toujours d’un espace fragmenté. Bien que les grands noms aient récemment fait la tendance des clés de sécurité, ils pourraient également en freiner l’utilisation généralisée.
Actuellement, l’utilisation d’un mot de passe vous enferme dans un certain fournisseur de services, selon Sayonnha Mandal, Ph.D., maître de conférences à l’Université du Nebraska Omaha. Vous ne pouvez pas, par exemple, vous connecter à des sites Web sur un téléphone Android avec un mot de passe stocké sur un MacBook. C’est le genre de verrouillage que ces entreprises ont tendance à privilégier, car cela permet de fidéliser les clients à leur marque. Donc, il faudra de la coopération et « en l’absence d’une norme industrielle gouvernementale à laquelle tout le monde doit obligatoirement adhérer, je ne pense pas que les entreprises le feraient. »
Mais Shamas dit que l’accessibilité multiplateforme arrive, alors que les entreprises adhèrent aux normes de l’industrie de FIDO pour le développement de clés de sécurité. « L’investissement important dans l’industrie (y compris Apple, Google et Microsoft) pour développer et évangéliser la technologie de clé de sécurité témoigne de la croyance générale en sa promesse », a déclaré un porte-parole de Google. Au moment de la publication, Google Chrome sur Mac et Windows stocke uniquement les clés de passe sur l’appareil local.
Pour l’instant, si un site Web vous propose une option de connexion par clé d’accès, vous devriez probablement vous inscrire. Au moins pour vos comptes les plus sensibles comme les services bancaires en ligne, passez aux clés de sécurité dès qu’elles sont proposées pour une couche de protection supplémentaire sur ces comptes, a déclaré Mandal. Mais, si les clés de sécurité prennent le relais, la transition sera lente. Les services offriront probablement toujours des options de mot de passe, car c’est ce à quoi les consommateurs sont habitués, et les clés de passe ne bénéficient toujours pas d’un support suffisamment large.
En attendant, c’est un bon rappel de rester au courant de vos paramètres de sécurité. Si les clés d’accès ne sont pas disponibles, assurez-vous que MFA est configuré et que votre mot de passe est fort au lieu d’éviter simplement les fenêtres contextuelles de rappel de sécurité lors de la connexion.
Tous les produits recommandés par Engadget sont sélectionnés par notre équipe éditoriale, indépendante de notre maison mère. Certaines de nos histoires incluent des liens d’affiliation. Si vous achetez quelque chose via l’un de ces liens, nous pouvons gagner une commission d’affiliation. Tous les prix sont corrects au moment de la publication.