Google « tue » les mots de passe, a lancé les clés de passe mais il y a des problèmes

passkeys

Si vous en avez assez des mots de passe et que vous ne pouvez pas attendre quelque chose de plus simple, alors vous avez de la chance. Google peaufine les choses et déploie maintenant une alternative aux mots de passe. Dans un récent article de blog intitulé « Le début de la fin du mot de passe », Google indique qu’il déploie des clés d’accès. Le billet de blog se lit en partie « Nous avons commencé à déployer la prise en charge des clés de passe sur les comptes Google sur toutes les principales plates-formes. Ils seront une option supplémentaire que les gens pourront utiliser pour se connecter, aux côtés des mots de passe, de la vérification en 2 étapes (2SV), etc.

Clé de sécurité Google

En activant la clé d’accès – uniquement les comptes Google, Google fait un grand pas vers un avenir sans mot de passe. Dans le cadre de l’authentification à deux facteurs, vous pouviez autrefois utiliser un mot de passe avec un compte Google. Mais c’était toujours en plus d’un mot de passe. Une clé d’accès peut désormais être utilisée pour accéder à un compte Google à la place d’un mot de passe.

Qu’est-ce qu’une offre de passe-partout ?

Si vous n’êtes pas familier avec le nouveau système d’authentification, un mot de passe est une nouvelle façon de se connecter aux applications et aux sites Web qui peuvent éventuellement remplacer les mots de passe. Les gens doivent d’abord entrer des mots de passe dans les zones de texte de base, et lorsque le besoin de plus de sécurité s’est fait sentir, l’automatisation et les styles complexes ont été greffés au fil du temps sur ces zones de texte. La bonne façon d’utiliser un mot de passe aujourd’hui consiste à demander à un gestionnaire de mots de passe de placer une chaîne de caractères aléatoire dans la zone de mot de passe. Auparavant, vous deviez taper un mot rappelé dans le champ du mot de passe. Les clés de passe suppriment la boîte de mot de passe car peu d’entre nous saisissent vraiment nos mots de passe.

Passkeys utilise la norme « WebAuthn » pour que votre système d’exploitation échange directement des paires de clés publiques – privées avec un site Web afin de vous vérifier. La démo Google de la façon dont cela pourrait fonctionner sur un téléphone est superbe ; la boîte standard demande votre nom d’utilisateur Google, puis demande une empreinte digitale pour déverrouiller le système de clé d’accès et vous connecter. Les appareils des utilisateurs bénéficient déjà de la prise en charge sans mot de passe de Google. Les comptes Google Workspace pourront « bientôt » activer des clés d’accès pour les utilisateurs finaux.

Quels sont les « problèmes » avec Passkeys ?

S’il y a un problème avec les clés d’accès, l’un d’eux est sa faible demande. Même si Google s’est entièrement consacré aux clés de sécurité, cela n’indique pas qu’elles sont prêtes pour une utilisation massive. Tout d’abord, certains systèmes (dont Windows, Linux et Chrome OS) ne sont pas aussi développés que d’autres (comme MacOS, iOS et Android). Il reste encore beaucoup de travail à faire, mais le site Web officiel passkeys.dev propose une page utile qui suit la préparation de la plate-forme – par – la plate-forme. Ce serait terrible de ne pas pouvoir accéder à votre compte Google Passkey sur Chrome OS. Cela est susceptible de se produire à moins que vous ne reconvertissiez en mot de passe.

passe-partout

Le deuxième problème, qui est que les clés de passe se synchronisent via l’écosystème de votre système d’exploitation plutôt que via un navigateur, indique un énorme recul dans le fonctionnement des mots de passe et ne semble pas être résolu de si tôt. Les clés d’accès ne fonctionnent pas de la même manière que les mots de passe aujourd’hui. Si vous ajoutez un mot de passe à Chrome sous Windows, il sera immédiatement visible sur n’importe quel appareil sur lequel Chrome est installé. Cela inclut un téléphone Android, un MacBook, un iPhone, un Chromebook, etc.

Les clés de passe ne se synchroniseront qu’avec tous les appareils de la même plate-forme

Selon FIDO Alliance, les clés de passe sont « synchronisées avec tous les autres appareils de l’utilisateur exécutant la même plate-forme de système d’exploitation »

Cela indique que si un utilisateur ajoute un mot de passe à Chrome sous Windows, il ne se synchronisera qu’avec d’autres systèmes d’exploitation Microsoft. En effet, il sera ajouté au store de clés d’accès du fournisseur du système d’exploitation, Microsoft. La même chose s’applique lorsque vous utilisez les produits Apple, tout se synchronisera et vous ne remarquerez aucun changement. Pour le reste qui utilise Windows et Android, Android et Linux, ou toute autre combinaison cross-OS-fournisseur, le processus n’est pas simple. Ils nécessiteront un processus de transfert piloté par code QR et Bluetooth. Les marques Big Tech qui contrôlent les clés d’accès ne semblent pas motivées pour les rendre aussi fluides et pratiques que les mots de passe. Ce sera un énorme pour leur adoption massive.

Concernant le désordre de synchronisation, 1Password a déclaré: «Actuellement, les clés d’accès sur d’autres plates-formes vous obligent à utiliser un appareil du même écosystème pour vous authentifier. La synchronisation avec d’autres systèmes d’exploitation ou le partage de clés d’accès nécessite un travail fastidieux. Cela nécessite des mots, comme des codes QR, ce qui entraîne une expérience plus compliquée et moins sécurisée. »

clés d'accès

Les clés de passe ne sont pas assez ouvertes – iPassword

Des applications comme 1Password peuvent ou non recevoir une invitation à la fête du mot de passe Big Tech. Bien que 1Password prétende être membre de l’Alliance FIDO, une vidéo sur la page consacrée aux clés de sécurité affirme que les clés de sécurité ne sont pas suffisamment ouvertes. La vidéo dit,

« Les solutions d’aujourd’hui ne tiennent pas cette promesse d’ouverture et d’interopérabilité. Si vous créez un mot de passe sur votre iPhone ou votre appareil Android aujourd’hui, il est à peu près piégé. Il n’est pas facile de le partager, de le déplacer vers une autre plate-forme ou de le synchroniser avec votre gestionnaire de mots de passe préféré. Nous pouvons faire mieux. Et c’est pourquoi nous sommes ravis de vous montrer à quoi pourrait ressembler l’avenir si la technologie sans mot de passe était plus ouverte.

Il existe plusieurs mots « pourrait » et « devrait » sur le site Web de mot de passe de 1Password. Mais l’entreprise travaille sur une solution qui sera prête « cet été ». Avoir une telle régression multiplateforme majeure dans la configuration par défaut – ce que la plupart des gens utiliseraient – limitera considérablement l’attrait des clés de passe. Même si l’entreprise parvient à résoudre le problème de la synchronisation des clés de passe, cela pourrait ne pas avoir d’attrait.

Actualité mobile de notre partenaire de la semaine

YouTube video