La nouvelle application Mots de passe d'Apple n'est pas plus sûre que votre appareil, puisqu'elle est accessible à l'aide du code d'accès de votre téléphone. Si
While both magic links and passkeys are methods of passwordless authentication, they’re not exactly the same. Some of the key differences between magic links and passkeys are how they work, their security, where a website server stores them and whether or not they expire after being used to log in to an account.
Poursuivez votre lecture pour en savoir plus sur les différences et les similitudes entre les liens magiques et les clés d’accès.
Que sont les liens magiques ?
Les liens magiques sont un type de connexion sans mot de passe où l’utilisateur reçoit un lien par e-mail ou par SMS après avoir saisi son nom d’utilisateur ou son adresse e-mail dans un portail de connexion. Le lien envoyé à l’utilisateur est appelé lien magique. Lorsque l’utilisateur clique sur ce lien magique, il est automatiquement connecté à son compte sans avoir à saisir de mot de passe. Les liens magiques sont également couramment utilisés comme méthode d’authentification multifacteur (MFA).
Pour qu’une personne puisse se connecter à un compte à l’aide d’un lien magique, le site Web ou l’application doit en permettre l’utilisation.
Qu’est-ce qu’une clé d’accès ?
Les clés d’accès sont un nouveau type de connexion sans mot de passe qui permet aux utilisateurs d’authentifier leur identité de la même manière qu’ils déverrouillent leurs appareils, c’est-à-dire par empreinte digitale, reconnaissance faciale ou saisie d’un code PIN. Les clés d’accès sont constituées d’une clé publique et d’une clé privée, toutes deux nécessaires pour authentifier l’identité d’un utilisateur avant qu’il ne puisse accéder à son compte. La clé publique est stockée sur les serveurs de l’entreprise tandis que la clé privée est stockée localement sur l’appareil de l’utilisateur. Lorsqu’un utilisateur se connecte à son compte à l’aide d’une clé d’accès, il est invité à utiliser ses données biométriques ou à saisir le code PIN de son appareil, sans avoir à saisir manuellement son mot de passe.
Pour commencer à utiliser les clés d’accès, le site Web ou l’application pour lequel vous souhaitez les utiliser doit les prendre en charge.
Principales différences entre les liens magiques et les clés d’accès
Voici quelques-unes des principales différences entre les liens magiques et les clés d’accès.
Comment ils fonctionnent
Les liens magiques et les clés d’accès fonctionnent très différemment. Lorsqu’il utilise un lien magique pour se connecter à un compte, l’utilisateur reçoit un lien par e-mail ou par SMS. Une fois que l’utilisateur a cliqué sur ce lien, il est connecté à son compte. Pour se connecter à l’aide d’un lien magique, l’utilisateur doit souvent changer momentanément d’onglets, d’application ou d’appareil. Avec les clés d’accès, les utilisateurs ne reçoivent aucun e-mail ou SMS. Au lieu de cela, ils utilisent la biométrique ou le code PIN de leur appareil pour se connecter immédiatement à leur compte.
Sécurité
En matière de sécurité, les clés d’accès sont fortes par défaut. Les clés d’accès ne peuvent pas être aussi facilement compromises que les liens magiques, car elles sont basées sur la norme WebAuthn, qui utilise la cryptographie à clé publique pour authentifier l’identité d’un utilisateur. Pour accéder à un compte pour lequel les clés d’accès sont activées, l’utilisateur devra toujours avoir l’« authentificateur » avec lui pour se connecter. L’authentificateur est ce que la personne utilise pour créer sa clé d’accès, qui peut être un téléphone, une tablette, un ordinateur ou un gestionnaire de mots de passe.
Les liens magiques, en revanche, peuvent être non sécurisés. Si le compte de messagerie d’une personne n’est pas sécurisé par un mot de passe fort et une MFA, un cybercriminel pourrait facilement compromettre le compte et accéder à un lien magique pour se connecter à l’autre compte de l’utilisateur. Les liens magiques envoyés par SMS sont également susceptibles d’être compromis par des attaques de SIM Swapping. Le SIM swapping se produit lorsqu’un cybercriminel convainc votre opérateur de téléphonie mobile d’activer une nouvelle carte SIM. Si un cybercriminel parvient à persuader votre opérateur de téléphonie mobile d’activer une nouvelle carte SIM, il sera en mesure de recevoir tous vos SMS et appels téléphoniques. Cela signifie qu’il pourra se connecter à vos comptes à l’aide de liens magiques et de réinitialisations de mot de passe envoyés à votre numéro de téléphone.
Stockage
Lorsqu’une clé d’accès est créée pour un site Web ou une application, la partie clé publique de la clé d’accès est toujours stockée sur le serveur de l’entreprise. Il est important de comprendre que même si le serveur stocke la clé publique, cette partie est inutile sans la clé privée qui l’accompagne, et qui est stockée localement sur l’appareil de l’utilisateur. En ce qui concerne les liens magiques, le jeton du lien magique ne reste que peu de temps sur les serveurs de l’entreprise. Une fois ce délai écoulé, un nouveau jeton devra être généré pour une nouvelle tentative de connexion.
Expiration
Lorsqu’une clé d’accès est créée pour un compte, cette clé d’accès n’expire jamais jusqu’à ce que vous décidiez de la supprimer vous-même. Les mêmes clés privée et publique seront toujours utilisées pour vous connecter à votre compte. Cela diffère des liens magiques qui ne sont que temporaires et qui expirent après un certain temps. Lorsqu’un lien magique est envoyé à un utilisateur, il expire dès que l’utilisateur l’ouvre. Certains liens magiques expirent même au bout d’un certain temps si vous attendez trop longtemps pour les ouvrir, ce qui signifie que vous devrez en demander un nouveau.
Similitudes entre lien magique et clé d’accès
Si les liens magiques et les clés d’accès présentent des différences, ils présentent également quelques similitudes.
Les deux sont des types d’authentification sans mot de passe
L’authentification sans mot de passe est une méthode permettant de vérifier l’identité d’une personne sans utiliser de mot de passe pour se connecter à un compte. Les liens magiques et les clés d’accès sont des types d’authentification sans mot de passe qui permettent aux utilisateurs de se connecter à leurs comptes et applications en ligne sans avoir à saisir manuellement un mot de passe.
Les deux peuvent être utilisés comme méthodes MFA
Si les liens magiques et les clés d’accès peuvent être utilisés comme méthodes d’authentification, ils peuvent également être utilisés comme méthodes d’authentification multifacteur. Toutefois, cela dépend fortement du fait que le site Web ou l’application prenne en charge l’utilisation de liens magiques et de clés d’accès. Par exemple, certains sites Web ne prennent en charge que l’utilisation des clés d’accès comme méthode MFA, tandis que d’autres sites Web prennent en charge l’utilisation des clés d’accès comme méthode de connexion et comme méthode MFA.
Les deux améliorent l’expérience de connexion de l’utilisateur
Les liens magiques et les clés d’accès évitent à l’utilisateur de devoir créer des mots de passe et de s’en souvenir, ce qui facilite grandement l’expérience de connexion de l’utilisateur. Ils évitent également aux utilisateurs d’avoir à réinitialiser leurs mots de passe parce qu’ils les ont oubliés, ce qui élimine le risque que les utilisateurs créent des mots de passe faibles, car ils sont plus faciles à mémoriser.
Authentification sans mot de passe avec des liens magiques et des clés d’accès
Les liens magiques et les clés d’accès peuvent tous deux être utilisés pour vous connecter à vos comptes sans avoir à saisir de mot de passe. Cependant, il est important de comprendre que les liens magiques peuvent parfois être peu sécurisés. Si vous avez la possibilité d’activer les clés d’accès comme méthode de connexion, cela ne rendra pas seulement votre expérience de connexion transparente, mais aussi votre compte beaucoup plus sécurisé. Pour savoir quels sont les sites Web et les applications qui prennent actuellement en charge l’utilisation des clés d’accès comme méthode de connexion, consultez notre répertoire des clés d’accès.
Tous les sites Web et toutes les applications ne prennent pas encore en charge l’utilisation de clés d’accès. Vous devrez donc toujours créer des mots de passe forts pour certains de vos comptes en ligne. Un gestionnaire de mots de passe comme Keeper® peut vous aider à créer des mots de passe forts et vous aider à gérer vos mots de passe et vos clés d’accès.