Après des années de des indices alléchants qu’un avenir sans mot de passe approche à grands pas, vous ne vous sentez probablement toujours pas plus proche de ce déchaînement numérique. Dix ans après avoir travaillé sur la question, cependant, l’Alliance FIDO, une association industrielle qui travaille spécifiquement sur l’authentification sécurisée, pense avoir enfin identifié la pièce manquante du puzzle.
Jeudi, l’organisation a publié un livre blanc qui expose la vision de FIDO pour résoudre les problèmes d’utilisabilité qui ont entravé les fonctionnalités sans mot de passe et, apparemment, les ont empêchées d’être largement adoptées. Les membres de FIDO ont collaboré pour produire le document, et ils couvrent des fabricants de puces comme Intel et Qualcomm, des développeurs de plateformes de premier plan comme Amazon et Meta, des institutions financières comme American Express et Bank of America, et les développeurs de tous les principaux systèmes d’exploitation : Google, Microsoft et Apple. .
Le document est conceptuel, pas technique, mais après des années d’investissement pour intégrer ce que l’on appelle les normes sans mot de passe FIDO2 et WebAuthn dans Windows, Android, iOS, etc., tout repose désormais sur le succès de cette prochaine étape.
« La clé du succès pour FIDO est d’être facilement disponible – nous devons être aussi omniprésents que les mots de passe », déclare Andrew Shikiar, directeur exécutif de l’Alliance FIDO. « Les mots de passe font partie de l’ADN du Web lui-même, et nous essayons de les supplanter. Ne pas utiliser de mot de passe devrait être plus facile que d’utiliser un mot de passe.
En pratique, cependant, même les schémas sans mot de passe les plus transparents ne sont pas tout à fait là. Une partie du défi réside simplement dans l’énorme inertie accumulée par les mots de passe. Les mots de passe sont difficiles à utiliser et à gérer, ce qui pousse les gens à prendre des raccourcis comme les réutiliser sur plusieurs comptes et crée des problèmes de sécurité à chaque tournant. En fin de compte, cependant, ils sont le diable, vous savez. Éduquer les consommateurs sur les alternatives sans mot de passe et les mettre à l’aise avec le changement s’est avéré difficile.
Au-delà de la simple acclimatation des gens, cependant, FIDO cherche à aller au cœur de ce qui rend encore les systèmes sans mot de passe difficiles à naviguer. Et le groupe a conclu que tout se résume à la procédure de changement ou d’ajout d’appareils. Si le processus de configuration d’un nouveau téléphone, par exemple, est trop compliqué et qu’il n’existe aucun moyen simple de se connecter à toutes vos applications et comptes, ou si vous devez recourir à des mots de passe pour rétablir la propriété de ces comptes, alors la plupart les utilisateurs concluront qu’il est trop compliqué de changer le statu quo.
La norme FIDO sans mot de passe repose déjà sur les scanners biométriques d’un appareil (ou un code PIN principal que vous sélectionnez) pour vous authentifier localement sans qu’aucune de vos données ne transite par Internet vers un serveur Web pour validation. Le concept principal qui, selon FIDO, résoudra finalement le problème du nouveau périphérique consiste à ce que les systèmes d’exploitation implémentent un gestionnaire d’« informations d’identification FIDO », qui est quelque peu similaire à un gestionnaire de mots de passe intégré. Au lieu de stocker littéralement les mots de passe, ce mécanisme stockera les clés cryptographiques qui peuvent se synchroniser entre les appareils et sont protégées par le verrouillage biométrique ou par mot de passe de votre appareil.
Lors de la conférence mondiale des développeurs d’Apple l’été dernier, la société a annoncé sa propre version de ce que FIDO décrit, une fonctionnalité iCloud connue sous le nom de « Passkeys in iCloud Keychain », qui, selon Apple, est sa « contribution à un monde post-mot de passe ».