Mot de passe – depuis un certain temps déjà, il s’agit de la première ligne de sécurité pour nos différentes formes de compte, mais avec le recul, dans quelle mesure les mots de passe sont-ils sécurisés en général ?
Nos mots de passe sont une combinaison de noms d’animaux, de dates importantes, d’événements clés, de noms, etc., informations qui pourraient être rassemblées à partir de notre présence sociale.
De plus, la nécessité d’avoir plusieurs mots de passe pour nos différents comptes afin d’éviter d’être compromis en cas de fuite a rendu encore plus difficile la conservation des mots de passe.
Source des images : blog.google
Le début de la fin du mot de passe – comme intitulé par un Article de blog Google. Depuis un certain temps déjà, des discussions et des efforts ont été mis en place pour éliminer progressivement l’ère des mots de passe, avec de grandes entreprises comme Google, Apple et Microsoft à l’avant-garde de l’élimination progressive de cette technologie séculaire et de son remplacement par un mot de passe.
Dans cet article, nous examinerons ce que sont les mots de passe, comment ils sont meilleurs, ainsi qu’un guide étape par étape sur la façon de configurer un mot de passe sur votre compte Google.
Table des matières
Que sont les clés d’accès ?
Les clés d’accès constituent une nouvelle méthode d’authentification des utilisateurs, plus sécurisée et plus performante que les mots de passe traditionnels. Les clés d’accès éliminent l’utilisation de mots de passe et de noms d’utilisateur, supprimant l’ancienne méthode d’authentification, susceptible aux piratages, au phishing et aux violations de données, entre autres menaces de sécurité qui y sont liées, et les remplacent par un moyen plus sécurisé.
Contrairement aux moyens d’authentification par mot de passe largement utilisés, les clés d’accès éliminent le processus de mémorisation d’un mot de passe car il est sans mot de passe. Les clés d’accès concernent l’utilisation d’un code PIN, de modèles ou de capteurs biométriques tels que la reconnaissance d’empreintes digitales ou la reconnaissance faciale pour vérifier votre identité avant d’accéder à votre compte. Par conséquent, pour utiliser des mots de passe, les utilisateurs doivent disposer d’appareils prenant en charge la technologie.
Malgré les conseils des experts en sécurité sur l’utilisation de mots de passe forts et l’utilisation de mots de passe uniques pour chaque compte qu’un utilisateur possède, les utilisateurs continuent d’utiliser des mots de passe faibles et d’utiliser un seul mot de passe pour plusieurs plates-formes, ce qui augmente encore les vulnérabilités liées au système de mots de passe.
D’où le développement de mots de passe par le World Wide Web Consortium (W3C) et FIDO Alliance, une association qui a été à l’avant-garde de la réduction du recours aux mots de passe.
L’utilisation de mots de passe a été développée en raison des failles de sécurité qui ont été exploitées dans la technologie de mot de passe existante. En raison de ces failles, nous avons assisté à l’adoption de l’authentification à deux facteurs, censée servir de deuxième couche de sécurité et d’identification avant qu’un utilisateur n’accède à son compte, et nous avons également assisté à une large adoption de gestionnaires de mots de passe pour aider les utilisateurs. garder une trace des différents mots de passe dont ils disposent sur plusieurs comptes.
Comment fonctionnent les mots de passe ?
Exploitation d’un mot de passe sur une API d’authentification basée sur le Web WebAuthn. L’authentification Web utilise une clé publique et privée, appelée cryptographie à clé publique, pour garantir que l’utilisateur est le bon propriétaire d’un compte.
Contrairement aux mots de passe traditionnels, toute personne disposant de votre mot de passe peut se connecter et accéder à votre compte de n’importe où. Un mot de passe utilise un moyen strict pour garantir que vous êtes bien celui que vous êtes.
Le mot de passe se compose de deux clés, la clé publique et la clé privée. Les deux clés sont essentielles car elles fonctionnent ensemble à la manière d’un puzzle pour déverrouiller et vérifier l’identité de l’utilisateur. La clé publique est et peut être stockée sur n’importe quel site Web ou application pour lequel vous créez un mot de passe, tandis que la clé privée, comme son nom l’indique, est stockée en toute sécurité et accessible uniquement à partir de l’appareil utilisé lors de la création du mot de passe.
La clé privée n’est accessible et stockée sur aucune plate-forme basée sur le cloud, ce qui la rend difficile à pirater, ce qui rend le mot de passe plus sécurisé. En termes simples, vous souhaitez vous connecter à votre compte Google avec un mot de passe.
N’oubliez pas que votre mot de passe se compose de deux clés. Google envoie un défi crypté à votre appareil ; rappelez-vous, Google dispose désormais de votre clé publique.
Lorsque votre appareil reçoit le défi crypté, vous devrez alors déverrouiller votre téléphone avec un code PIN, un schéma ou un identifiant facial, qui signera ensuite le défi avec votre clé privée et transmettra le défi signé à Google.
Google le vérifie ensuite avec une copie de la clé publique. Si les deux clés correspondent, le défi chiffré est déchiffré et Google sait qu’il s’agit de vous. En y regardant de plus près, le mot de passe fonctionne de manière similaire au 2FA mais en mieux.
Pourquoi les clés d’accès sont-elles meilleures ?
Mieux et plus fort que les mots de passe
Passkey utilise la cryptographie à clé publique, un moyen plus sécurisé d’authentifier un utilisateur. Ils sont plus résistants au phishing et à d’autres formes d’attaque que les authentifications par mot de passe. Votre clé privée n’est jamais partagée dans le cloud, garantissant que vous seul pouvez accéder à votre compte.
Pratique
Contrairement aux mots de passe, qui nécessitent que vous les mémorisiez toujours jusqu’aux majuscules et aux points. Avec Passkey, vous pouvez compter sur un capteur biométrique pour confirmer votre identité, qui gère l’envoi et l’authentification de votre identité et vous libère enfin de l’oubli de votre mot de passe.
Zéro violation possible
Bien que vous ayez besoin à la fois de la clé publique et de la clé privée pour vérifier votre identité et sachant que votre clé publique est stockée publiquement sur le cloud du site Web, en cas de violation, la clé publique ne peut pas faire l’objet d’une ingénierie inverse pour accéder à votre clé privée. rendant votre compte toujours impénétrable.
Expérience utilisateur améliorée
Passkey, comme mentionné, permet d’éliminer le besoin de mémoriser tous vos mots de passe en permanence et supprime le risque d’oubli d’un mot de passe et de perte d’accès à votre compte, rendant l’authentification plus conviviale et transparente.
Configuration de la clé d’accès sur votre compte Google
Google a annoncé la mise en œuvre de Passkey lors de la Journée mondiale du mot de passe en 2022. Actuellement, les utilisateurs ont accès à l’option d’activation d’un mot de passe pour remplacer l’authentification déjà basée sur un mot de passe. Dans cette section, nous passerons en revue un guide étape par étape pour activer Passkey sur votre compte Google existant.
Enfin, vous avez activé Passkey et vous êtes sans mot de passe.
Activer le mot de passe sur mobile (Android)
Le mot de passe est mort ?
À l’heure actuelle, l’adoption de cette nouvelle technologie, comme de toute autre, prendra du temps. Par conséquent, pour le moment, nous nous attendons toujours à ce que les mots de passe soient largement utilisés par la majorité, mais à mesure que de plus en plus d’entreprises se lancent dans la tendance sans mot de passe et dans l’utilisation d’un mot de passe. Les mots de passe pourraient éventuellement disparaître.
Conclusion
Les clés d’accès sont une technologie bienvenue, la clé publique étant le verrou et est rendue accessible au public mais ne peut être déverrouillée que par la personne possédant la bonne clé (clé privée), qui est gardée secrète. À long terme, les avantages du système sans mot de passe avec les clés d’accès l’emporteront sur ses inconvénients.
Avec l’adoption croissante des mots de passe par les entreprises comme moyen d’authentification, de plus en plus de personnes s’y lanceront une fois que les avantages en seront pleinement compris.
Ensuite, vous pourrez également découvrir comment implémenter l’authentification Passkeys/FIDO sur vos applications.