Oublier les mots de passe et la double authentification pour se connecter à son compte Google devient réalité depuis ce mercredi 3 mai. La solution mise en place est basée sur la norme « Fido » et s’appelle « clés d’accès » ou « passkeys » en anglais.
Google s’efforce de créer un monde sans mots de passe. Lors de la journée mondiale des mots de passe, la société annonce ainsi qu’elle pourrait bientôt atteindre cet objectif. Dans un billet de blog publié ce 3 mai, la firme dévoile le déploiement progressif de l’authentification sans mot de passe, nommée « clé d’accès » ou « passkey ». Depuis des mois, les acteurs technologiques débattent de cette méthode d’authentification qui permet de se connecter en toute sécurité sans saisir de mot de passe.
Les passkeys de Google sont basées sur la norme « Fido »
Il y a un an, Google, Apple et Microsoft révélaient travailler sur une méthode de connexion universelle basée sur la norme « Fido ». Ce processus offre une authentification pour toutes les applications et services compatibles. Les bénéfices ? Plus besoin de mémoriser des mots de passe et une meilleure protection contre les attaques par hameçonnage. Cette méthode offre une sécurité supérieure à l’authentification par SMS, que l’on peut aisément détourner.
Les clés d’accès fonctionnent en utilisant l’empreinte digitale, la reconnaissance faciale ou un code PIN pour se connecter à son compte Google. La première étape consiste à configurer cette méthode et sélectionner un système d’authentification dans un « authentificateur » tel que son smartphone ou un navigateur. Cette solution est compatible avec un smartphone Android, un iPhone, un Mac ainsi qu’un PC équipé de Windows Hello. Le système crée alors une paire de clés chiffrées : il stocke la clé privée localement sur l’appareil, tandis que le fournisseur de service conserve la clé publique et la lie au compte de l’utilisateur.
Deux niveaux de sécurité
Le système assure deux niveaux de sécurité sans nécessiter de mot de passe. Une fois cette étape accomplie, l’utilisateur déverrouille l’authentificateur Fido en activant le système sur son smartphone ou bien sur son ordinateur – la reconnaissance faciale ou l’empreinte digitale suffit pour accéder à l’application ou au service désiré.
Google détaille sur son site la procédure pour créer la clé d’accès. L’utilisateur pourra, à terme, se connecter aux services de Google sur n’importe quel appareil, via différents navigateurs et systèmes d’exploitation. D’autres grands fournisseurs de services et plateformes devraient adopter cette technologie, Apple ayant déjà annoncé le support des clés d’accès dans iOS 16 ainsi que Microsoft prévoyant des mises en place similaires.
En cas de perte ou de vol de l’appareil, l’utilisateur peut révoquer la clé d’accès. Les méthodes de connexion existantes, y compris les mots de passe, continueront de fonctionner pour ceux qui ne souhaitent pas adopter ce système d’authentification. Les mots de passe restent nécessaires pour les appareils ne supportant pas encore les clés d’accès, précise Google. Ainsi, bien que nous n’ayons pas encore complètement éliminé les mots de passe, nous nous en rapprochons progressivement.
Avec l’introduction des clés d’accès, Google s’engage ainsi à faciliter la vie de ses utilisateurs en proposant une solution plus sûre et pratique que les mots de passe traditionnels. L’adoption généralisée de cette technologie par d’autres grandes entreprises de la tech permettra de renforcer la sécurité en ligne et de simplifier le processus de connexion pour de nombreux internautes.
Pour en savoir plus et pour mettre en place cette nouvelle façon de sécuriser vos accès, je vous invite à consulter la documentation officielle de Google : « Connexion sans mot de passe«