Qu'est-ce qu'un passkey ?
- Glossaire IAM
- Qu'est-ce qu'un passkey ?
Une clé d’accès est une méthode d’authentification moderne sans mot de passe qui s’appuie sur la cryptographie à clé publique. Au lieu d’un mot de passe, les utilisateurs s’authentifient à l’aide d’une paire de clés cryptographiques : une clé publique stockée par le service et une clé privée stockée en toute sécurité sur l’appareil de l’utilisateur ou dans un gestionnaire de mots de passe.
L’authentification lors de l’utilisation de clés d’accès implique généralement des données biométriques (telles que l’empreinte digitale ou la reconnaissance faciale), un code PIN ou un motif de déverrouillage, comme pour déverrouiller un smartphone. La plupart des utilisateurs choisiront la biométrie pour des raisons pratiques.
Comment fonctionnent les clés d’accès\t?
Les clés d’accès fonctionnent en utilisant la cryptographie à clé publique pour vous permettre de vous connecter à des sites web et à des applications sans avoir à saisir un mot de passe classique. Voici leur fonctionnement étape par étape :
1. Configuration d'une clé d'accès
- L’utilisateur se connecte à son compte comme d’habitude.
- Dans les paramètres de sécurité, il active l’option des clés d’accès.
- L’application ou le site web invite l’utilisateur à enregistrer une clé d’accès liée à son appareil.
- Si vous utilisez un gestionnaire de mots de passe, vous serez invité à générer et à enregistrer une clé d’accès.
- Une authentification biométrique (par exemple, Face ID, empreinte digitale) est requise pour confirmer la configuration.
- La clé d’accès est stockée en toute sécurité sur l’appareil ou dans le gestionnaire de mots de passe.
2. Connexion avec une clé d’accès
- Lors des connexions suivantes, l’utilisateur est invité à s’authentifier à l’aide de sa clé d’accès enregistrée.
- Aucun mot de passe n’est requis, juste la clé d’accès.
3. Authentification multi-appareils
- Si l’utilisateur tente de se connecter sur un appareil sans la clé d’accès, il peut s’authentifier à l’aide d’un autre appareil.
- Le navigateur peut afficher un code QR à scanner avec un appareil mobile pour finaliser la connexion.
- Une connexion Bluetooth est souvent utilisée pour garantir la proximité et la sécurité lors de l’authentification sécurisée entre divers appareils.
- Si vous utilisez un gestionnaire de mots de passe, la clé d’accès peut être consultée et utilisée sur plusieurs appareils.
Passkeys vs mots de passe : Quelle est la différence ?
À mesure que les organisations et les plateformes adoptent les clés d’accès, il est important de comprendre en quoi ces dernières diffèrent des mots de passe traditionnels et pourquoi elles représentent une avancée significative en matière de sécurité numérique et d’expérience utilisateur.
Voici les principales différences entre les clés d’accès et les mots de passe :
Processus de création
Les mots de passe obligent les utilisateurs à créer et à mémoriser manuellement des identifiants forts et uniques, ce qui peut s’avérer difficile. En revanche, les clés d’accès sont générées automatiquement, ce qui signifie que les utilisateurs n’ont pas à créer ni à mémoriser quoi que ce soit. Une fois ces clés d’accès configurées, les utilisateurs peuvent facilement se connecter à l’aide de leur appareil ou de leur gestionnaire de mots de passe.
Résistance au phishing
Les mots de passe sont vulnérables au phishing, car les utilisateurs les saisissent manuellement, ce qui les rend susceptibles d’être interceptés par de faux sites web. Les clés d’accès, en revanche, sont résistantes au phishing. Comme aucune saisie n’est nécessaire, les cybercriminels ne peuvent pas dérober les identifiants de connexion avec des attaques de phishing.
Risque de compromis
Les mots de passe sont facilement compromis, en particulier si les utilisateurs les réutilisent ou choisissent des mots de passe faibles. Si un mot de passe fait l’objet d’une fuite, il peut être utilisé immédiatement par un cybercriminel. Les clés d’accès, cependant, sont plus sécurisées. La clé privée n’est jamais stockée sur le serveur ; par conséquent, même si le serveur est compromis, la clé publique seule est inutile sans la clé privée.
Support du site Web
Les mots de passe sont universellement pris en charge, mais les clés d’accès sont encore en cours d’adoption. Les principaux sites web tels qu’Apple, Google et PayPal les prennent désormais en charge, mais de nombreux sites continuent de s’appuyer sur des mots de passe. Pour savoir quels sites prennent en charge les clés d’accès, veuillez consulter le Répertoire des clés d’accès de Keeper.
| Clé d'accès | Mot de passe |
|---|---|
| Généré automatiquement | Généré par l'utilisateur |
| Résistant au hameçonnage | Vulnérable aux menaces d’hameçonnage |
| Ne peut pas être facilement compromis | Facilement compromis s'ils sont faibles |
| Actuellement pris en charge sur un nombre limité de sites web | Pris en charge sur tous les sites web |
Avantages de l’utilisation des clés d’identification
Les clés d’accès offrent plusieurs avantages, fournissant un moyen plus sécurisé et fluide pour s’authentifier en ligne.
Sécurité plus forte
La plupart des individus ont des difficultés à adopter de bonnes pratiques en matière de mots de passe. Ils choisissent souvent des mots de passe courts et faciles à deviner, les réutilisent sur plusieurs sites ou les stockent de manière non sécurisée. Les clés d’accès résolvent ce problème en étant générées automatiquement et en étant uniques pour chaque compte.
Par ailleurs, les clés d’accès utilisent la cryptographie à clé publique. Une clé privée est stockée de manière sécurisée sur l’appareil de l’utilisateur ou dans un gestionnaire de mots de passe, tandis que la clé publique est enregistrée par le service. Lors de la connexion, la clé privée prouve votre identité sans être partagée. Cela signifie que même si le serveur est piraté, les cybercriminels n’obtiennent que la clé publique, qui est inutile sans la clé privée, ce qui rend les clés d’accès bien plus sécurisées que les identifiants de connexion traditionnels.
Authentification à deux facteurs (2FA) intégrée
Contrairement aux mots de passe, que de nombreux utilisateurs ne sécurisent pas avec une méthode 2FA, les clés d’accès sont intrinsèquement protégées par celle-ci. Pour utiliser une clé d’accès, vous avez besoin à la fois de quelque chose que vous possédez (votre dispositif d’authentification) et de quelque chose qui vous constitue (authentification biométrique). Cette authentification à deux facteurs (2FA) intégrée rend les clés d’accès plus sûres que les mots de passe traditionnels, qui manquent souvent d’un niveau de protection supplémentaire.
Résistant au hameçonnage
L’un des principaux avantages des clés d’accès réside dans leur résistance au phishing. Étant donné que les clés d’accès ne nécessitent pas que les utilisateurs saisissent manuellement leurs identifiants de connexion, les cybercriminels ne peuvent pas les inciter à saisir leurs identifiants sur un site web frauduleux. Cela signifie que les clés d’accès ne peuvent pas être volées par le biais d’attaques de phishing, contrairement aux mots de passe, qui sont souvent ciblés.
Inconvénients et limitations
Bien que les clés d’accès offrent de nombreux avantages, elles présentent néanmoins certaines limites :
Leur prise en charge par les sites web reste partielle
Malgré leur adoption croissante, les clés d’accès ne sont toujours pas prises en charge de manière universelle. Un grand nombre d’applications et des sites web plus petits ou plus anciens utilisent toujours les mots de passe, ce qui signifie que les utilisateurs doivent souvent gérer les deux systèmes en parallèle. Selon la FIDO Alliance, environ 48 % des 100 sites web les plus populaires prennent désormais en charge les clés d’accès, ce qui montre un progrès notable, même si cette adoption reste encore limitée.
La dépendance aux appareils existe toujours
Les clés d’accès sont généralement liées à des appareils ou à des écosystèmes spécifiques. Si un utilisateur perd l’accès à un appareil, il peut rencontrer des difficultés pour accéder à ses comptes, à moins que les clés d’accès ne soient synchronisées ou transférées. Pour prévenir cela, il est possible de stocker les clés d’accès dans un gestionnaire de mots de passe tel que Keeper.
L’adoption se poursuit dans l’ensemble des services
Bien que les progrès soient notables, la majorité des gens utilisent encore des mots de passe comme méthode de connexion par défaut. Pour l’instant, il vaut mieux que les utilisateurs conservent un gestionnaire de mots de passe ou une solution de sauvegarde, car on n’est pas encore tout à fait dans un monde sans mots de passe.
L’avenir des clés d’accès
Bien que les clés d’accès aient le potentiel de remplacer les mots de passe, elles n’élimineront pas le besoin de recourir à des gestionnaires de mots de passe. En réalité, elles pourraient même les rendre plus indispensables.
En effet, les clés d’accès sont liées à un authentificateur, qui peut être :
- Un appareil, comme un smartphone, une tablette ou un ordinateur portable
- Un gestionnaire de mots de passe qui prend en charge les clés d’accès
À première vue, utiliser un smartphone comme principal moyen d’authentification semble pratique. Après tout, la plupart des gens emportent leur téléphone partout. Cependant, en réalité, il peut s’avérer peu pratique de dépendre d’un seul appareil, surtout pour les utilisateurs qui passent fréquemment d’un appareil à l’autre.
Par exemple, si vous essayez de vous connecter sur un ordinateur portable ou une tablette sans votre téléphone à proximité, vous devrez :
- Générer un code QR sur l’appareil que vous utilisez ;
- Le scanner avec votre smartphone (l’authentificateur) ;
- Confirmer votre identité à l’aide de données biométriques telles que Face ID ou votre empreinte digitale.
Ces étapes supplémentaires soulignent les avantages d’un gestionnaire de mots de passe prenant en charge la synchronisation des clés d’accès entre les appareils. Keeper, qui prend en charge les clés d’accès depuis plusieurs années, simplifie le processus de connexion en associant les clés d’accès à l’application plutôt que de dépendre uniquement d’un appareil physique. Cette approche facilite considérablement l’accès aux comptes depuis plusieurs appareils et rend cette opération plus fluide.
