En savoir plus sur les clés de passe, la technologie de connexion sans mot de passe à venir sur iOS 16 et Android

Cette histoire fait partie WWDC 2022la couverture complète de CNET depuis et à propos de la conférence annuelle des développeurs d’Apple.

Que ce passe-t-il

Apple et Google mettront à jour leur logiciel de téléphone et leurs navigateurs Web plus tard cette année avec une technologie appelée clés d’accès, conçue pour être facile à utiliser et plus sécurisée que les mots de passe.

Pourquoi est-ce important

Les mots de passe sont en proie à des problèmes, mais les géants de la technologie ont coopéré pour concevoir une alternative pratique qui réduit les vulnérabilités et les risques de piratage.

Apple et Google introduiront plus tard cette année la prise en charge des clés de sécurité, une nouvelle technologie de connexion qui promet d’être plus sécurisée que les mots de passe pour protéger l’accès à nos comptes bancaires et à nos e-mails. Apple a démontré les clés de sécurité lors de sa conférence mondiale des développeurs et a déclaré qu’ils viendraient iOS16 et macOS Ventura cet automne.

Les clés d’accès sont aussi faciles – peut-être plus faciles – à utiliser que les mots de passe. Ils remplacent l’émeute de frappes nécessaires pour les mots de passe par une vérification biométrique sur nos téléphones ou ordinateurs. Ils stoppent également les attaques de phishing et bannissent les complications de l’authentification à deux facteurs, comme les codes SMS, qui renforcent les faiblesses du système de mot de passe.

Une fois que vous avez configuré un mot de passe pour un site ou une application, il est stocké sur le téléphone ou l’ordinateur personnel que vous avez utilisé pour le configurer. Des services comme le trousseau iCloud d’Apple ou le gestionnaire de mots de passe Chrome de Google peuvent synchroniser les clés d’accès sur vos appareils. Des dizaines d’entreprises technologiques ont développé les normes ouvertes derrière les clés de sécurité dans un groupe appelé le Alliance FIDOqui a annoncé des clés de sécurité en mai.

“Il est maintenant temps de les adopter”, a déclaré Garrett Davidson, ingénieur en technologie d’authentification chez Apple, dans un La WWDC parle des clés d’accès. “Avec les clés d’accès, non seulement l’expérience utilisateur est meilleure qu’avec les mots de passe, mais des catégories entières de sécurité – comme les informations d’identification faibles et réutilisées, les fuites d’informations d’identification et le phishing – ne sont tout simplement plus possibles.”

Vous devrez passer un peu de temps sur la courbe d’apprentissage avant que les clés de sécurité n’atteignent leur potentiel. Vous devrez également décider si Apple, Microsoft ou Google est la meilleure option pour vous.

Voici un aperçu de la technologie.

Qu’est-ce qu’un mot de passe ?

Il s’agit d’un nouveau type d’identifiant de connexion composé d’un peu de données numériques que votre PC ou votre téléphone utilise lors de la connexion à un serveur. Vous approuvez chaque utilisation de ces données avec une étape d’authentification, telle que la vérification des empreintes digitales, la reconnaissance faciale, un code PIN ou le schéma de connexion familier aux propriétaires de téléphones Android.

Voici le hic : vous devrez avoir votre téléphone ou votre ordinateur avec vous pour utiliser les clés d’accès. Vous ne pouvez pas vous connecter à un compte sécurisé par mot de passe à partir de l’ordinateur d’un ami sans votre propre appareil.

Les clés de sécurité sont synchronisées et sauvegardées. Si vous obtenez un nouveau téléphone Android ou iPhone, Google et Apple peuvent restaurer vos clés de sécurité. Avec le cryptage de bout en bout, Google et Apple ne peuvent ni voir ni modifier les clés d’accès. Apple a conçu son système pour garder les clés de sécurité en sécurité même si un attaquant ou un employé d’Apple compromet votre compte iCloud.

Comment fonctionne la configuration d’un mot de passe ?

C’est assez simple. Utilisez votre empreinte digitale, votre visage ou un autre mécanisme pour authentifier une clé d’accès lorsqu’un site Web ou une application vous invite à en configurer une. C’est ça.

Ces étapes montrent comment se connecter avec des clés d’authentification sur un téléphone Android : choisissez l’option de clé d’authentification, choisissez la clé d’authentification appropriée et authentifiez-vous avec un ID d’empreinte digitale. La reconnaissance faciale est également une option sur les téléphones compatibles.

Google

Comment utiliser un mot de passe pour me connecter ?

Lorsque vous utilisez un téléphone, une option d’authentification par mot de passe apparaît lorsque vous essayez de vous connecter à une application. Appuyez sur cette option, utilisez la technique d’authentification que vous avez choisie et vous y êtes.

Pour les sites Web, vous devriez voir une option de mot de passe dans le champ du nom d’utilisateur. Après cela, le processus est le même.

Une fois que vous avez un mot de passe sur votre téléphone, vous pouvez l’utiliser pour faciliter la connexion sur un autre appareil à proximité, comme votre ordinateur portable. Une fois connecté, ce site Web peut proposer de créer un nouveau mot de passe lié au nouvel appareil.

Que se passe-t-il si j’ai besoin de me connecter à un site Web tout en utilisant l’ordinateur de quelqu’un d’autre ?

Vous pouvez utiliser un mot de passe stocké sur votre téléphone pour vous connecter à un autre appareil à proximité, comme un ordinateur portable que vous empruntez. L’écran de connexion sur l’ordinateur portable emprunté aura la possibilité de présenter un code QR que vous pourrez scanner avec votre téléphone. Vous utiliserez Bluetooth pour vous assurer que votre téléphone et l’ordinateur sont à proximité, puis vous laisserez utiliser une vérification d’empreintes digitales ou d’identification faciale sur votre propre téléphone. Votre téléphone communiquera ensuite avec l’ordinateur via une connexion sécurisée pour terminer le processus d’authentification.

Pourquoi les clés d’accès sont-elles plus sûres que les mots de passe ?

Les clés d’accès utilisent une base de sécurité éprouvée appelée cryptographie à clé publique pour l’opération de connexion. C’est la même technologie qui protège votre numéro de carte de crédit lorsque vous le saisissez sur un site Web. La beauté du système est qu’un site Web n’a qu’à baser son enregistrement de clé de passe sur votre clé publique, des données conçues pour être ouvertement visibles. La clé privée utilisée pour configurer un mot de passe est stockée uniquement sur votre propre appareil. Il n’y a pas de base de données de mots de passe qu’un pirate puisse voler.

Un autre grand avantage est que les clés de sécurité bloquent les tentatives de phishing. “Les clés de sécurité sont intrinsèquement liées au site Web ou à l’application pour laquelle elles ont été configurées, de sorte que les utilisateurs ne peuvent jamais être amenés à utiliser leur clé de sécurité sur le mauvais site Web”, Ricky Mondelloqui supervise la technologie d’authentification chez Apple, a déclaré dans une vidéo de la WWDC.

L’utilisation de clés d’accès nécessite que vous ayez votre appareil à portée de main et que vous puissiez le déverrouiller, une combinaison qui offre la protection d’une authentification à deux facteurs mais avec moins de soucis que les codes SMS. Et avec les clés d’accès, personne ne peut fouiner par-dessus votre épaule pour vous regarder taper votre mot de passe.

Quand verrai-je les clés d’accès ?

Les passe-partout pourraient émerger dès cette année.

Lors de sa conférence mondiale des développeurs, Apple a déclaré qu’il apporterait des clés d’accès à iOS 16 et MacOS Ventura, ses principales mises à jour logicielles du système d’exploitation attendues cet automne. En mai, Google a déclaré qu’il apporterait la prise en charge des clés d’accès au logiciel Android d’ici la fin de 2022 pour les tests des développeurs, a déclaré le responsable de l’authentification de Google, Mark Risher. La prise en charge des clés de passe devrait arriver dans Chrome et Chrome OS en même temps. Microsoft prévoit une prise en charge de Windows dans les mois à venir.

Certains sites Web et applications seront impatients de mettre à jour leur logiciel de connexion pour utiliser des clés de sécurité afin de pouvoir profiter des avantages de la sécurité. D’autres se déplaceront plus lentement. Même si les clés d’accès se répandent rapidement, ne vous attendez pas à ce que les mots de passe disparaissent.

Les sites Web et les applications m’obligeront-ils à utiliser des clés d’accès ?

Il est peu probable que vous soyez obligé d’utiliser des clés de sécurité alors que la technologie est nouvelle et inconnue. Les sites Web et les applications que vous utilisez déjà ajouteront probablement la prise en charge des clés d’accès aux méthodes de mot de passe existantes.

Une personne utilise un téléphone pour scanner un code QR afin d'activer la connexion par clé d'accès sur un ordinateur à proximité

Si vous devez vous connecter à l’ordinateur d’un ami qui n’a pas votre mot de passe, la numérisation d’un code QR permettra à votre téléphone de gérer le processus d’authentification.

Pomme

Lorsque vous vous inscrivez à un nouveau service, les clés d’accès peuvent être présentées comme l’option préférée. Finalement, ils peuvent devenir la seule option.

Les clés d’accès m’enfermeront-elles dans les écosystèmes Apple ou Google ?

Pas exactement. Bien que les clés de sécurité soient ancrées dans la suite technologique d’une entreprise, vous pourrez vous déconnecter, par exemple, du monde d’Apple pour utiliser des clés de sécurité avec celles de Microsoft ou de Google.

“Les utilisateurs peuvent se connecter sur un navigateur Google Chrome qui s’exécute sur Microsoft Windows, à l’aide d’un mot de passe sur un appareil Apple”, Vasu Jakkalun leader Microsoft des technologies de sécurité et d’identité, a déclaré dans un article de blog en mai.

Les défenseurs des clés de passe travaillent également sur la technologie pour permettre aux gens de migrer leurs clés de passe d’un domaine technologique à un autre, selon Apple et Google.

Comment les gestionnaires de mots de passe sont-ils impliqués avec les clés d’accès ?

Bref, ils ne le sont pas, pour l’instant. Les gestionnaires de mots de passe jouent un rôle de plus en plus important dans la génération, le stockage et la synchronisation des mots de passe. Mais les clés d’accès seront ancrées sur votre téléphone ou votre ordinateur personnel, et non sur votre gestionnaire de mots de passe.

Cela pourrait changer, cependant.

“Nous nous attendons à une évolution naturelle vers une architecture qui permet aux gestionnaires de clés de passe tiers de se brancher et de portabilité entre les écosystèmes”,

Risher de Google s’attend à ce que les clés de sécurité évoluent pour réduire les barrières entre les écosystèmes et s’adapter aux gestionnaires de clés de sécurité tiers. “Cela a été un point de discussion depuis le début de cette poussée de l’industrie.”

1Password maker AgileBits vient de rejoindre l’Alliance FIDOet DashLane et LastPass sont déjà membres.

Leave a Comment