Google : les « passkeys », remèdes aux mots de passe ?

Avec les « passkeys » – clés d’accès -, ce système d’authentification forte que pousse l’alliance FIDO, Google déclare faire un pas de plus vers un avenir (numérique) sans mot de passe.

Dorénavant, les titulaires de comptes Google peuvent créer et utiliser des clés d’accès (passkeys) plutôt qu’un mot de passe ou une authentification multifacteur (MFA) pour s’identifier.

« L’utilisation de mots de passe impose une grande responsabilité aux utilisateurs. Choisir des mots de passe robustes et les mémoriser pour différents comptes peut être difficile. De surcroît, même les utilisateurs les plus avisés peuvent être bernés et les divulguer lors de tentatives de phishing », ont déclaré dans un billet de blog Arnar Birgisson et Diana K. Smetters. Tous deux sont ingénieurs au sein des équipes en charge des identités et de la sécurité des comptes Google.

Ils ajoutent : « la 2FA/MFA (authentification à deux facteurs/multifacteur) est utile, mais elle impose encore une pression supplémentaire indésirable aux utilisateurs et ne protège pas complètement contre les attaques de phishing et les attaques ciblées comme le « SIM swapping » pour la vérification par SMS. Les clés de passe aident à résoudre tous ces problèmes. »

C’est en tout cas le message que veut faire passer Google.

Les passkeys, une alternative aux mots de passe et à la MFA

Les clés de passe permettent aux utilisateurs de se connecter à leurs comptes en déverrouillant l’accès à l’aide d’une empreinte digitale, de la reconnaissance faciale ou encore d’un code PIN local depuis leur ordinateur personnel ou leur smartphone. Basées sur les normes FIDO, la plupart des navigateurs web et plateformes peuvent les adopter. Les passkeys sont donc considérées par leurs promoteurs comme une alternative « plus sûre et aisée » que les mots de passe ou l’authentification multifacteur.

Comment cela fonctionne ?

L’entreprise explique : « lorsque vous ajoutez une clé d’accès à votre compte Google, nous vous demanderons de l’utiliser lors de votre connexion ou lorsque vous effectuez des actions sensibles sur votre compte. La clé d’accès elle-même est stockée sur votre ordinateur ou appareil mobile local, qui vous demandera la saisie de vos données biométriques ou PIN de verrouillage d’écran pour confirmer que c’est bien vous. Les données biométriques ne sont jamais partagées avec Google ni avec aucun autre tiers – le verrouillage d’écran ne déverrouille la clé d’accès que localement »

La multinationale américaine met ainsi en exergue le fait que le matériel biométrique ne quitte « jamais » l’appareil personnel de l’utilisateur. Et que les clés d’accès seules ne permettent pas de suivre les utilisateurs ou les appareils entre les sites.

Malgré tout, les clés de passe peuvent être vulnérables. Par ailleurs, l’utilisation de données biométriques soulève des interrogations, notamment quant à la confidentialité et à la protection des données. Aussi, certains utilisateurs peuvent préférer conserver le contrôle de leurs informations d’authentification, plutôt que de les confier à une entreprise tierce.

On note, enfin, que Google prend d’ores et déjà en charge les clés d’accès pour Chrome sur Android, Windows et macOS. D’autres, dont Apple et Microsoft, se sont également lancés.

_{(crédit photo © maxkabakov – Fotolia)}