Les comptes Google sans mot de passe sont désormais disponibles ; vous pouvez convertir en mot de passe uniquement
En autorisant les comptes Google avec mot de passe uniquement, Google fait un pas important vers notre avenir prétendument sans mot de passe. L’ entrée de blog avec le titre « La fin du mot de passe est enfin là, selon Google, qui a commencé à déployer la prise en charge des clés de passe sur toutes les principales plates-formes pour les comptes Google. Ils seront une option de connexion supplémentaire en plus des mots de passe, de la vérification en 2 étapes (2SV), etc. pour les utilisateurs. Dans le cadre de l’authentification à deux facteurs, vous pouviez auparavant utiliser un mot de passe avec un compte Google, mais c’était toujours en plus d’un mot de passe. Une clé d’accès peut désormais être utilisée pour accéder à un compte Google à la place d’un mot de passe.
Si vous n’êtes pas familier avec le nouveau mécanisme d’authentification, un mot de passe est une nouvelle méthode de connexion aux applications et aux sites Web qui pourraient un jour remplacer un mot de passe. Les humains ont d’abord saisi des mots de passe dans des zones de texte de base, et lorsque le besoin d’une sécurité accrue s’est fait sentir, l’automatisation et la complexité se sont progressivement greffées sur ces zones de texte. La bonne façon d’utiliser un mot de passe aujourd’hui consiste à demander à un gestionnaire de mots de passe de placer une chaîne de caractères aléatoire dans la zone de mot de passe. Auparavant, vous deviez taper un mot rappelé dans le champ du mot de passe. Les clés de passe suppriment la boîte de mot de passe car peu d’entre nous saisissent vraiment nos mots de passe.
Passkeys utilise la norme « WebAuthn » pour que votre système d’exploitation échange directement des paires de clés publiques-privées avec un site Web, ce qui vous permet d’être authentifié. La démo Google de la façon dont cela fonctionnerait sur un téléphone est fantastique ; la boîte standard demande votre nom d’utilisateur Google, puis demande une empreinte digitale pour déverrouiller le système de clé d’accès et vous connecter.
Les appareils grand public pourront bientôt accéder aux services Google sans mot de passe, tandis que les comptes professionnels Google Workspace pourront « bientôt » activer des clés d’accès pour les utilisateurs finaux.
Les clés de passe ne sont toujours pas prêtes pour une utilisation généralisée
Même si Google s’est pleinement engagé envers les clés de sécurité, cela ne signifie pas qu’elles sont prêtes pour une utilisation de masse. Tout d’abord, certains systèmes (dont Windows, Linux et Chrome OS) ne sont pas aussi développés que d’autres (comme MacOS, iOS et Android). Il reste encore beaucoup de travail à faire, mais le site Web officiel passkeys.dev propose une page utile qui suit la préparation plate-forme par plate-forme. Il serait horrible de ne pas pouvoir accéder à votre compte de clé Google sur Chrome OS, ce qui risque de se produire à moins que vous ne reveniez à un mot de passe.
Le deuxième problème, qui est que les clés de sécurité se synchronisent via l’écosystème de votre système d’exploitation plutôt que via un navigateur, représente un recul important dans le fonctionnement des mots de passe et ne semble pas être résolu de si tôt. Les clés d’accès ne fonctionnent pas de la même manière que les mots de passe aujourd’hui ; si j’ajoute un mot de passe à Chrome sous Windows, il sera instantanément accessible sur tous mes appareils sur lesquels Chrome est installé, y compris mon téléphone Android, Macbook, iPhone, Chromebook, etc.
Les clés de passe sont « synchronisées avec tous les autres appareils de l’utilisateur exécutant la même plate-forme de système d’exploitation », selon la page FIDO Alliance [notre emphase]. Cela signifie que si j’ajoute une clé d’accès à Chrome sous Windows, elle ne se synchronisera qu’avec les autres systèmes d’exploitation Microsoft, car elle sera ajoutée au magasin de clés d’accès du fournisseur du système d’exploitation, Microsoft. Tout se synchronisera et vous ne remarquerez aucune différence si vous n’utilisez que des produits Apple. Pour le reste d’entre nous, l’utilisation de Windows et d’Android, d’Android et de Linux, ou de toute autre combinaison multi-OS, nécessitera un processus de transfert par code QR et Bluetooth. Les sociétés Big Tech qui contrôlent les clés de sécurité ne semblent pas motivées pour les rendre aussi simples et pratiques que les mots de passe, ce qui constituera un obstacle important à leur adoption généralisée.
Tout ce problème de synchronisation est confirmé par 1Password, « Pour le moment, les clés d’accès sur d’autres plates-formes exigent que vous vérifiiez à l’aide d’un appareil du même écosystème. Il est laborieux et moins sûr de se synchroniser avec d’autres systèmes d’exploitation ou de fournir des clés d’accès lorsqu’il existe des solutions de contournement, telles que les codes QR. Des applications comme 1Password peuvent ou non avoir reçu une invitation à la fête des clés Big Tech. Bien que 1Password prétende être membre de l’Alliance FIDO, une vidéo sur la page dédiée aux clés de sécurité affirme que les clés de sécurité ne sont pas assez ouvertes. D’après la vidéo : « L’ouverture et l’interopérabilité promises par les technologies actuelles ne sont pas remplies. Créer un mot de passe sur un iPhone ou un appareil Android aujourd’hui est pratiquement impossible. Le partager, le déplacer vers une autre plate-forme ou le synchroniser avec votre gestionnaire de mots de passe préféré ne sont pas des tâches simples. Nous pouvons nous améliorer.
Il y a beaucoup de mots « pourrait » et « devrait » sur le site Web de mot de passe de 1Password, mais un correctif est en cours de développement et devrait être disponible « cet été ».
Avoir une régression multiplateforme aussi importante dans la configuration par défaut – ce que la plupart des gens utiliseraient – limitera considérablement l’attrait des clés de sécurité, même si l’entreprise parvient à résoudre le problème de la synchronisation des clés de sécurité pour sa propre application.
Image de l’annonce par Google
Laisser un commentaire