Avec les « passkeys » – clés d’accès -, ce système d’authentification forte que pousse l’alliance FIDO, Google déclare faire un pas de plus vers un avenir (numérique) sans mot de passe.
Dorénavant, les titulaires de comptes Google peuvent créer et utiliser des clés d’accès (passkeys) plutôt qu’un mot de passe ou une authentification multifacteur (MFA) pour s’identifier.
« L’utilisation de mots de passe impose une grande responsabilité aux utilisateurs. Choisir des mots de passe robustes et les mémoriser pour différents comptes peut être difficile. De surcroît, même les utilisateurs les plus avisés peuvent être bernés et les divulguer lors de tentatives de phishing », ont déclaré dans un billet de blog Arnar Birgisson et Diana K. Smetters. Tous deux sont ingénieurs au sein des équipes en charge des identités et de la sécurité des comptes Google.
Ils ajoutent : « la 2FA/MFA (authentification à deux facteurs/multifacteur) est utile, mais elle impose encore une pression supplémentaire indésirable aux utilisateurs et ne protège pas complètement contre les attaques de phishing et les attaques ciblées comme le « SIM swapping » pour la vérification par SMS. Les clés de passe aident à résoudre tous ces problèmes. »
C’est en tout cas le message que veut faire passer Google.
Les passkeys, une alternative aux mots de passe et à la MFA
Les clés de passe permettent aux utilisateurs de se connecter à leurs comptes en déverrouillant l’accès à l’aide d’une empreinte digitale, de la reconnaissance faciale ou encore d’un code PIN local depuis leur ordinateur personnel ou leur smartphone. Basées sur les normes FIDO, la plupart des navigateurs web et plateformes peuvent les adopter. Les passkeys sont donc considérées par leurs promoteurs comme une alternative « plus sûre et aisée » que les mots de passe ou l’authentification multifacteur.