« Adieu les mots de passe, place aux clefs passe-partout ! ». C’est en résumé l’annonce que fait Google aujourd’hui en déployant les passkeys pour les utilisateurs de comptes Google dans le monde entier.
Il y a près d’un an, Google, Apple, Microsoft et la FIDO Alliance ont annoncé un partenariat visant à créer des connexions sans mot de passe, sans friction, entre les différents appareils, systèmes d’exploitation et navigateurs.
Les mécanismes d’authentification multi-factorielle et les gestionnaires de mots de passe apportent des améliorations de sécurité par rapport aux flux de travail classiques de nom d’utilisateur et de mot de passe, mais ne sont pas sans défauts. Par exemple, un code d’authentification envoyé par SMS peut être intercepté.
Avec les passkeys, l’authentification des utilisateurs se synchronise entre tous leurs appareils grâce à des paires de clés cryptographiques, permettant de se connecter aux sites Web et aux applications avec les mêmes données biométriques ou code PIN de verrouillage d’écran utilisé pour déverrouiller leurs appareils. Cela rend beaucoup plus difficile l’accès aux comptes des utilisateurs par des individus malveillants à distance, car l’accès physique à l’appareil de l’utilisateur est nécessaire.
Les passkeys offrent une sécurité renforcée et synchronisée entre les appareils, rendant l’accès aux comptes utilisateur plus difficile pour les cybercriminels.
Google, Apple et Microsoft prenaient déjà en charge la norme de connexion sans mot de passe de FIDO, mais étaient obligés de se connecter à chaque site ou application avec chaque appareil avant de pouvoir l’utiliser. Grâce à leur alliance, les trois géants de la technologie ont commencé à déployer progressivement les passkeys. Apple a été le premier à offrir une compatibilité avec les passkeys sur iOS en septembre dernier, suivi de PayPal en octobre et d’autres entreprises comme Shopify, Kayak et Docusign. Aujourd’hui, c’est au tour des utilisateurs de comptes Google d’en bénéficier.
Les utilisateurs ont la possibilité d’activer les passkeys en se connectant à leur compte Google. Cependant, cette fonctionnalité est optionnelle – les mots de passe et les autres outils d’authentification multi-factorielle existants restent opérationnels.
Pour le moment, il semblerait que les passkeys ne soient compatibles qu’avec les comptes personnels. Google a annoncé que les administrateurs de Workspace auront bientôt la possibilité de l’activer pour leurs utilisateurs.
Source : Techcrunch
