Apple, Google et Microsoft veulent tuer le mot de passe avec la norme « Passkey »

Apple, Google et Microsoft veulent tuer le mot de passe avec la norme « Passkey »

5 mai 2022 0 Par Le Caiman

Le premier jeudi de mai est apparemment la « Journée mondiale du mot de passe », et pour célébrer Pomme, Googleet Microsoft lancent un « efforts conjugués« pour tuer le mot de passe. Les principaux fournisseurs de systèmes d’exploitation veulent » étendre la prise en charge d’une norme de connexion sans mot de passe commune créée par l’Alliance FIDO et le World Wide Web Consortium. « 

La norme est appelée soit un « identifiant FIDO multi-appareils » soit simplement une « clé de passe ». Au lieu d’une longue chaîne de caractères, ce nouveau schéma aurait l’application ou le site Web auquel vous vous connectez pour envoyer une demande à votre téléphone pour l’authentification. À partir de là, vous devez déverrouiller le téléphone, vous authentifier avec une sorte de code PIN ou biométrique, puis vous êtes en route. Cela ressemble à un système familier pour toute personne disposant d’une configuration d’authentification à deux facteurs basée sur le téléphone, mais il s’agit d’un remplacement du mot de passe plutôt que d’un facteur supplémentaire.

Un graphique a été fourni pour l’interaction de l’utilisateur :

Certains systèmes push 2FA fonctionnent sur Internet, mais ce nouveau schéma FIDO fonctionne sur Bluetooth. Comme l’explique le livre blanc, « Bluetooth nécessite une proximité physique, ce qui signifie que nous disposons désormais d’un moyen résistant au phishing pour exploiter le téléphone de l’utilisateur lors de l’authentification ». Bluetooth a une terrible réputation de compatibilité, et je ne suis pas sûr que la « sécurité » ait jamais été une véritable préoccupation, mais l’alliance FIDO note que Bluetooth sert simplement à « vérifier la proximité physique » et que le processus de connexion réel « ne fait pas dépendent des propriétés de sécurité Bluetooth.  » Bien sûr, cela signifie que les deux appareils auront besoin de Bluetooth à bord, ce qui est une donnée pour la plupart des smartphones et des ordinateurs portables, mais pourrait être une demande difficile pour les ordinateurs de bureau plus anciens.

Semblable à la façon dont un gestionnaire de mots de passe peut unifier vos connexions sous un seul mot de passe, vos clés d’accès peuvent être sauvegardées par un grand détenteur de plateforme comme Apple ou Google. Cela vous permettrait d’apporter facilement vos informations d’identification à un nouvel appareil, de vous empêcher de les perdre et de faciliter la synchronisation des clés d’accès entre les appareils. Si vous perdez votre appareil, vous pouvez toujours récupérer vos comptes en vous connectant (euh — avec un mot de passe ?) à votre grand compte de titulaire de plateforme. Il peut également être judicieux de configurer plusieurs appareils en tant qu’authentificateurs.

Les entreprises essaient de passer au « sans mot de passe » depuis des années, mais y parvenir a été difficile. Google a toute une chronologie sur son blog à partir de 2008. Les mots de passe fonctionnent bien s’ils sont longs, aléatoires, secrets et uniques, mais l’élément humain des mots de passe est toujours un problème. Nous ne sommes pas doués pour mémoriser de longues chaînes de caractères aléatoires. Il est tentant d’écrire des mots de passe ou de les réutiliser, et les stratagèmes de phishing essaient de vous inciter à donner votre mot de passe à un tiers. Lorsqu’une faille de sécurité se produit, les paires nom d’utilisateur et mot de passe sont faciles à partager, et il existe d’énormes bases de données d’informations d’identification compromises.

Le billet du blog FIDO indique : « Ces nouvelles fonctionnalités devraient être disponibles sur les plates-formes Apple, Google et Microsoft au cours de l’année à venir. » Apple, qui semble avoir lancé toute la tendance « passkey », a déjà un système opérationnel dans iOS 15 et macOS Monterey, mais c’est pas compatible avec d’autres plates-formes encore. La prise en charge des clés de Google a déjà été repéré dans Play Services sur Android, il devrait donc être rapidement pris en charge par des appareils Android encore plus anciens dès qu’il sera prêt.

Image de l’annonce par FIDO Alliance