Google lance la prise en charge des clés d’accès bêta pour Chrome et Android

Big Tech veut tuer le mot de passe et « Access Keys » est la nouvelle norme en vogue pour le remplacement du mot de passe en mode bloc. Les clés d’accès sont prises en charge par Google, Apple, Microsoft et l’Alliance FIDO, alors attendez-vous à les voir partout bientôt. iOS a repris la norme dans la version 16, et maintenant Google déploie des versions bêta de mot de passe pour Chrome et Android.

L’argument du mot de passe est que les mots de passe sont anciens et faibles. Les mots de passe informatiques ont été conçus à l’origine comme un secret facile à retenir que les gens pouvaient taper dans une zone de texte. Au fur et à mesure que le besoin d’une plus grande sécurité se faisait sentir, des gestionnaires de mots de passe sont apparus pour faciliter l’enregistrement et la récupération de vos mots de passe. Maintenant, au lieu d’une phrase accrocheuse, la façon idéale d’utiliser un mot de passe est de faire en sorte que l’ordinateur génère une chaîne de caractères sauvages et de ne jamais utiliser ce mot de passe ailleurs. Cependant, la révolution du gestionnaire de mots de passe est un hack construit au-dessus de cette zone de texte d’origine. Nous n’avons plus vraiment besoin de la zone de texte, et c’est là que la norme de mot de passe entre en jeu.

Un choix étrange que Big Tech a fait avec les clés d’accès est que la chose qui transmet votre clé au site Web est votre téléphone, et non le gestionnaire de mots de passe sur l’appareil que vous utilisez actuellement. Cette communication entre le téléphone et le client ne se fait pas non plus sur Internet comme l’authentification à deux facteurs – l’appareil que vous utilisez doit avoir Bluetooth pour que votre téléphone puisse communiquer avec lui localement. La communication locale garantit que des personnes aléatoires sur Internet ne peuvent pas se connecter à vos comptes, mais cela bloquera également certains ordinateurs de bureau.

Google affirme que les efforts de mot de passe ont atteint une « étape majeure » aujourd’hui. Si vous vous inscrivez à la version bêta des services Play, vous pouvez désormais créer et utiliser des clés de sécurité sur les appareils Android, et Chrome Canary prend désormais en charge les clés de sécurité des sites Web. Google indique que des implémentations stables pour Chrome et Android arriveront plus tard cette année, mais souhaite que les développeurs commencent le développement dès maintenant.

Google a également partagé quelques détails sur la façon dont cela fonctionnera. Dans la solution de Google, vos mots de passe sont stockés dans le gestionnaire de mots de passe de Google. Une fenêtre contextuelle sur votre téléphone vous invitera d’abord à sélectionner un compte, puis à vous authentifier avec une sorte de biométrie, comme le déverrouillage par empreinte digitale. Le téléphone communiquera avec le client via Bluetooth, le navigateur recevra votre mot de passe et l’enverra au site Web. (Si le client est votre téléphone, les choses deviennent beaucoup plus faciles.)

Pour une raison quelconque, dans l’exemple de Google, tout le processus commence par un code QR. Je suppose que ce n’est qu’un hack rapide pour la version bêta, mais pour que la fenêtre contextuelle du mot de passe apparaisse d’abord sur votre téléphone, Google montre à l’ordinateur un code QR, puis le téléphone le scanne. Comme c’est le cas avec Google Prompt ou d’autres formes de 2FA, nous espérons qu’à l’avenir, la fenêtre contextuelle de mot de passe initial s’ouvrira automatiquement sur le Web.

Outre les versions stables pour Android et Chrome, Next for Google est une API pour les applications Android natives et une API Android pour les gestionnaires de mots de passe tiers qui peuvent être connectés à cela. Google fait le ménage en ce moment, mais à l’avenir, cela devrait fonctionner dans différents écosystèmes, de sorte qu’un iPhone peut envoyer un mot de passe à Chrome et un téléphone Android peut envoyer un mot de passe à Safari.