Le monde sans mots de passe : les nouvelles formes d'authentification pour éviter autant de chiffres et de lettres

Peu à peu, les géants de la technologie misent sur un monde sans mot de passe où d'autres stratégies d'authentification jugées plus sûres sont mises en œuvre. C'est le cas de Microsoft qui, en septembre de l'année dernière, a annoncé la possibilité que tous les utilisateurs du compte avec l'entreprise pourrait supprimer leurs clés, s'ils le souhaitaient.

Cela est possible grâce à l'utilisation de Microsoft Authenticator, de Windows Hello, d'une clé de sécurité ou du code de vérification envoyé sur votre téléphone portable ou par e-mail pour vous connecter à vos applications et services préférés.

Aujourd'hui, Google s'apprête également à aller dans cette direction, puisqu'il propose un système basé sur des clés d'accès. Il s'agit d'une nouvelle proposition qui lie une clé privée au compte personnel de l'utilisateur et permet de la synchroniser entre les appareils pour une utilisation sur des sites Web.

L'Alliance FIDO (Fast Identity Online), à laquelle certaines des plus importantes entreprises technologiques sont affiliées et qui vise à créer de nouvelles normes sécurisées pour la gestion des services numériques, a proposé une nouvelle approche de la sécurité qui laisse derrière elle à la fois l'authentification par mot de passe et l'authentification à deux facteurs.

Ce sont des informations d'identification multi-appareils, capables de contourner le phishing qui a tellement augmenté ces derniers temps.

Dans ce cas, il s'agit d'une proposition qui stocke des informations cryptographiques sur l'appareil (mobile, ordinateur ou tablette), une clé privée qui génère une signature qui, plus tard, vérifie un serveur réellement créé avec cette clé privée lors de la tentative d'accès à un site Web.

Dans le cas d'Android, les clés d'accès sont enregistrées dans le compte Google, ce qui permet de synchroniser ces informations entre les appareils, ce qui est utile si, par exemple, vous passez à un nouveau téléphone portable.

L'utilisateur devra toujours se connecter à son compte avec le mot de passe, mais il l'évitera dans les services Web.

Dans la pratique, ce processus fonctionne de la même manière qu'un gestionnaire de mots de passe et est connu dans le commerce sous le nom de clé d'accès, comme l'a mentionné l'alliance dans son rapport de mars 2022 sur la manière dont FIDO traite un large éventail de cas d'utilisation.

« Comme les gestionnaires de mots de passe avec mots de passe, la plate-forme du système d'exploitation sous-jacent synchronisera les clés cryptographiques qui appartiennent à un identifiant FIDO d'un appareil à un autre. Cela signifie que la sécurité et la disponibilité des informations d'identification synchronisées d'un utilisateur dépendent de la sécurité du mécanisme d'authentification sous-jacent de la plate-forme du système d'exploitation (Google, Apple, Microsoft, etc.) pour ses comptes en ligne, et de la méthode de sécurité de restauration de l'accès lorsque tout (ancien) est perdu dispositifs », indique l'un des documents de la FIDO.

L'année dernière, Apple a annoncé une nouvelle fonctionnalité d'authentification, appelée Passkeys, qui permettrait aux utilisateurs d'utiliser FaceID ou TouchID pour se connecter vers des sites Web compatibles avec ce système. De cette façon, ils n'auraient pas besoin d'utiliser un mot de passe, car ils utiliseraient un système biométrique.

L'annonce a été faite en juin de l'année dernière, lors de la session des développeurs intitulée Move beyond password, offerte par Apple dans le cadre de son événement annuel (WWDC 21) destiné aux développeurs.

Comme l'a expliqué la société, il repose également sur le protocole promu par l'Alliance FIDO, auquel Apple a adhéré en février 2020 pour améliorer l'authentification en ligne.

Les clés d'accès évitent d'avoir à mémoriser un mot de passe lors de la connexion à un site Web, tant que la page en question prend en charge cette technologie.

À côté du nom d'utilisateur, la reconnaissance faciale ou l'empreinte digitale FaceID est liée à TouchID au lieu d'un mot de passe.

Son support a déjà été inclus dans iOS, dans la deuxième version bêta de la version 15.5. Pour sa part, Google travaille à inclure cette nouvelle initiative, comme ils l'ont identifié dans 9to5Google, en vérifiant certaines lignes de code pour la dernière version des services Google Play (version 22.15.14).

CONTINUEZ À LIRE :