Plus de mots de passe - comment les clés d'accès remplaceront votre mot de passe
Pour éviter toute ambiguïté, les termes suivants seront utilisés ;
Authentificateur ; Le téléphone mobile utilisé pour effectuer la connexion
Site Web ; Le site Web ou l'application que l'utilisateur utilise pour effectuer la demande de connexion
Services ; Le fournisseur fournissant le service donné, par exemple Google Mail, Microsoft Outlook
Quel est le problème avec les mots de passe ?
Les mots de passe sont synonymes de notre utilisation d'Internet, nous les utilisons pour nous connecter à nos e-mails, comptes de médias sociaux ou pour vérifier nos soldes bancaires. On nous rappelle de définir de « bons » mots de passe complexes, chaque site ayant sa propre définition de ce à quoi ressemble le bon.
Malgré ces efforts, les mots de passe restent une faiblesse car beaucoup utilisent des mots de passe faibles et/ou le même mot de passe sur tous les comptes. Souvent, certains sont victimes de sites Web prétendant être de véritables services, connus sous le nom de phishing. C'est là que les utilisateurs cliquent sur un lien qu'ils croient être authentique, mais en fait, il s'agit d'un faux site Web créé pour voler le mot de passe de l'utilisateur.
De très bons faux sites Web de «phishing» peuvent également inciter les utilisateurs à l'authentification multifacteur (MFA) si le type de MFA n'est pas conçu pour résister aux attaques de phishing. Cependant, avoir une MFA vaut mieux que pas de MFA du tout.
Que sont les clés d'accès
Les clés d'accès remplacent les mots de passe et sont conçues pour résister aux attaques de phishing. Ils rendent également le processus de connexion beaucoup plus facile pour les utilisateurs tout en étant plus sécurisé.
Prenons Batool comme exemple, elle a utilisé un mot de passe pour se connecter à son compte Gmail. En passant à un Passkey, elle peut se connecter en utilisant son empreinte digitale ou son visage. Le mot de passe devient une méthode alternative au cas où elle ne pourrait pas utiliser la clé d'accès (les mots de passe finiront par être retirés à un moment donné).
Les clés de passe utilisent le concept de clés privées et publiques , au lieu d'une phrase de passe, Batool dispose désormais d'une clé privée qui est créée, stockée et gérée de manière transparente par son téléphone mobile. Cela peut se faire via une application d'authentification ou dans le système d'exploitation.
Le téléphone de Batool sait comment télécharger automatiquement sa nouvelle clé publique sur Gmail, dans le cadre de sa création de Passkey avec Gmail.com.
Gmail connaît désormais la clé publique de Batool et lui demandera donc de confirmer qu'il s'agit bien de la sienne en demandant à Batool de déverrouiller son téléphone et de le signer à l'aide de sa clé privée.
Tout cela se passe en arrière-plan entre Gmail.com et son téléphone, Batool n'a qu'à se soucier de l'utilisation de son empreinte digitale ou du déverrouillage biométrique facial comme elle le ferait normalement. Elle devra peut-être sélectionner la clé d'accès à utiliser si elle a configuré de nombreux comptes Gmail.com différents.
Les faux sites Web constituent désormais moins une menace car ils ne disposent pas de la clé publique de Batool et elle ne peut donc pas se connecter. N'oubliez pas que la clé privée ne quitte jamais son téléphone portable.
Alors, comment Batool passe-t-il d'un mot de passe à un passe-partout ?
Le diagramme ci-dessous montre comment Batool passe de l'utilisation d'un mot de passe à une clé d'authentification pour son compte Gmail.
1- Batool se connecte au service (Gmail) en utilisant son nom d'utilisateur et son mot de passe.
2- Gmail prend désormais en charge les clés de sécurité, une demande est envoyée à Batool pour créer une clé de sécurité ou elle peut avoir besoin d'accéder à g.co/passkeys .
3- Une notification apparaît pour créer un Passkey.
4- Batool choisit de créer un Passkey et est invité à déverrouiller son téléphone en utilisant l'option biométrique, cela permet à son téléphone de créer en toute sécurité un nouveau Passkey pour Gmail.com et de le stocker en toute sécurité pour elle.
5- La clé privée est liée à son profil d'utilisateur, c'est-à-dire synchronisée sur ses appareils. Dans cet exemple, Batool utilise un iPhone, il peut donc être synchronisé à l'aide d'iCloud. Cependant, des méthodes alternatives peuvent être utilisées par différents fournisseurs, à savoir Microsoft Authenticator ou Google Password Manager.
6 - La clé publique correspondante est envoyée à Gmail.
7- Google stocke UNIQUEMENT cette clé publique et est utilisée lors de futures tentatives de connexion pour valider les signatures signées de Batool.
Lorsque Batool utilise son empreinte digitale ou son visage pour utiliser la clé d'accès, cela revient à déverrouiller l'appareil ou à se connecter à la banque en ligne - la représentation numérique de son empreinte digitale ou de son visage ne quitte JAMAIS le téléphone mobile , elle est stockée cryptée dans le téléphone et ne peut pas être accessible par Gmail ou quiconque a fabriqué l'appareil, comme Apple ou Android.
Maintenant que Batool a une clé d'accès, comment fonctionne le processus de connexion ?
Le schéma ci-dessous montre comment Batool se connectera à son compte Gmail à l'aide de son mot de passe.
1- Batool navigue sur le site de connexion d'un service donné, Gmail dans ce cas.
2- Batool a précédemment créé un mot de passe (voir ci-dessus) pour Gmail, donc un challenge est envoyé depuis le service Gmail.
3- Le défi est reçu par le téléphone de Batool et apparaît sous la forme d'une liste de mots de passe disponibles du service, c'est-à-dire que si Batool a plus d'un compte Gmail, deux mots de passe apparaîtront
4- Batool sélectionne la clé d'accès pour son compte Gmail puis utilise la biométrie pour déverrouiller son téléphone portable, cela permet alors à son téléphone d'utiliser la clé privée.
5- Le challenge de Google est alors signé par la clé privée de Batool.
6- Un défi signé est ensuite envoyé à Google, ce qui garantit que Batool se connecte.
7 - Google utilise la clé publique de Batool pour confirmer la réussite de la connexion.
Lors de la connexion à Google à partir de maintenant, Google demandera le mot de passe chaque fois que possible. Si Passkey n'est pas disponible, Batool peut toujours utiliser son mot de passe Google.
Cela fait partie d'un passage progressif aux Passkeys alors que de plus en plus de services adoptent les Passkeys, nous espérons voir un avenir sans mots de passe et une plus grande résilience au phishing.
Apple, Google et Microsoft collaborent pour accroître la sensibilisation et l'adoption des Passkeys avec plus d'informations à ce sujet ici .
Un grand merci à Joel Samuel et Ali Sarraf pour la révision de cet article.