Les « clés d’accès » arrivent sur 1Password en 2023. Cette méthode de connexion se veut plus simple et sécurisée, tout en présentant l’avantage de fonctionner sur toutes les plates-formes, y compris Android et iOS.
Comment les « clés d’accès » comptent-elles remplacer nos mots de passe ?
En début d’année, Apple, Google et Microsoft se sont unis pour mettre fin au mot de passe, afin de faciliter l’adoption d’une méthode universelle basée sur la norme Fido. Un enjeu important pour les centaines de millions d’utilisateurs des services proposés par les trois géants de la tech. Cette nouvelle méthode de connexion mettrait fin aux mots de passe trop peu sécurisés que l’on peut deviner ou qui sont réutilisés sur tous les sites et applications.
- A lire aussi : Nos conseils pour bien gérer vos mots de passe
Les « passkeys » comptent mettre fin à ces problèmes en utilisant comme point de départ un appareil qui vous appartient (smartphone, ordinateur, tablette, etc.). Lors du processus d’inscription à un site ou une application, l’appareil que vous utilisez créera deux clés chiffrées uniques pour chaque service auquel vous souhaitez accéder. La première clé (privée) restera sur votre appareil, la seconde clé (publique) sera détenue par l’application ou le site en question.
Lorsque vous souhaitez vous connecter, le service en possession de la clé publique posera une « énigme » à votre smartphone (ou autre appareil) qu’il ne pourra résoudre qu’avec votre clé privée. L’utilisateur devra ensuite valider qu’il est bien le propriétaire de l’appareil en utilisant le lecteur d’empreinte, la reconnaissance faciale, un code PIN ou un schéma.
Le gros problème que veut résoudre 1Password
Il manque un dernier élément pour que le tout fonctionne : le stockage des clés privées dans un trousseau qui se trouve… dans un espace de stockage en ligne (chiffré et sécurisé) appartenant à Apple, Microsoft ou Google. Si vous êtes dans l’écosystème Apple, il sera par exemple très simple d’utiliser ces « clés d’accès » depuis votre MacBook, iPad, iPhone, etc. Les « passkeys » sont donc liés au compte que vous utilisez (Apple iCloud, Google Drive, Microsoft OneDrive).
Les « passkeys » sont tout à fait capables de passer d’un écosystème à l’autre (d’Apple à Google, par exemple), mais cette synchronisation n’est pas automatique… Il faudra ainsi le faire manuellement en scannant avec votre smartphone un QR code dans lequel se trouve la « clé d’accès ». Le téléphone doit en parallèle utiliser le Bluetooth pour détecter la présence de l’appareil qui partage le QR code afin de s’assurer qu’un pirate ne le fait pas à distance. Comme le souligne Steve Won, chef de produit chez 1Password :
« Si vous créez une clé d’accès sur votre iPhone ou appareil Android aujourd’hui, vous êtes pratiquement piégé. Ce n’est pas facile à partager ou passer sur une autre plate-forme. »
Un comble quand on sait qu’il est aujourd’hui possible de transférer facilement ses mots de passe d’un compte à un autre. Cela pose alors un vrai problème d’ouverture et d’interopérabilité.
1Password, le service de gestion de mots de passe, a donc pour ambition de proposer le même système de « passkeys », mais que vous pourrez utiliser simplement, quelle que soit la plate-forme (Android, iOS, Windows, macOS et navigateur Web).
A lire aussi : notre comparatif des meilleurs gestionnaires de mot de passe
Pour vous connecter pour la première fois à un nouvel appareil, 1Password a mis en place un « identificateur mobile pour passkeys ». Vous devrez rentrer votre adresse email pour recevoir une notification sur votre mobile. Vous aurez juste à déverrouiller votre téléphone et valider le fait que la demande de connexion vient bien de vous. La disparition des mots de passe tels que nous les connaissons aujourd’hui n’est plus qu’une question de temps.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Fast Company
Du coup ça reviendra a utiliser un code pin de 4 ou 6 chiffre comme mot de passe !!!
@kerlu: non pas du tout. Relisez l’article: “L’utilisateur devra valider qu’il est bien le propriétaire de l’appareil” => usage similaire à la double authentification, avec une validation via le smartphone. Cette méthode a le mérite de supprimer les mots de passe et d’authentifier chaque connexion avec quelque chose de bien plus personnel qu’un mot de passe : votre téléphone.
Maintenant si la méthode de verrouillage de votre smartphone (que VOUS avez établi) consiste en un simple code PIN de 4 chiffres, c’est votre problème.
Et si le téléphone est volé, on est dans la mouise.
reconnaissance faciale pour entrer dans mon téléphone dons ou est le problème?
Une clé privée qui reste sur le téléphone mais… stockée en ligne.???