Gadgets

La mise à jour PassKeys d’Apple pourrait rendre les mots de passe traditionnels obsolètes

La mise à jour PassKeys d'Apple pourrait rendre les mots de passe traditionnels obsolètes


Parfois, il semble que les mots de passe nous accompagnent depuis toujours, et pourtant, chaque année, on nous rappelle que nous ne les utilisons toujours pas correctement !

La publication annuelle de la liste des «pires mots de passe» montre que nous ne sommes pas devenus beaucoup plus avertis en matière de mots de passe au cours de la décennie. Et bien que plusieurs remplacements de l’humble mot de passe aient été proposés, aucun ne s’est approché de la facilité d’utilisation de la méthode traditionnelle.

Mais cela change aujourd’hui avec l’introduction de Passkeys – une mise à jour du dernier système d’exploitation iOS 16 d’Apple. Les clés de passe pourraient être la solution tant attendue aux erreurs de mot de passe et au problème quasi constant des informations d’identification compromises.



Lire la suite : Cette nouvelle année, pourquoi ne pas vous résoudre à abandonner vos vieux mots de passe douteux ?


Quel est le problème avec les mots de passe ?

Le problème avec les mots de passe a été bien documenté. Nous choisissons les plus faibles, les écrivons (pour que les autres les voient), les partageons et les réutilisons sur plusieurs sites Web.

Le dernier d’entre eux est particulièrement problématique. Une fois que vos informations sont piratées (et divulguées par la suite), elles sont vulnérables au « credential stuffing » – où les cybercriminels prennent un ensemble d’identifiants de connexion et les essaient sur plusieurs sites Web.

Les gens collent encore des mots de passe à leurs moniteurs !
Auteur fourni

“Mais j’utilise un gestionnaire de mots de passe”, pourriez-vous dire.

Bon, c’est bien. Le conseil standard depuis des années est d’utiliser des gestionnaires de mots de passe tels que 1Password ou LastPass. Ceux-ci vous permettent de créer des mots de passe uniques pour chaque site Web ou service que vous utilisez. Ainsi, même si un site Web est compromis, un seul mot de passe est révélé.

Mais cette approche nécessite la possibilité de se synchroniser sur tous vos appareils – une fonctionnalité que tous les gestionnaires de mots de passe ne proposent pas.

Et même avec un gestionnaire de mots de passe, nos mots de passe sont toujours stockés sur le site Web distant auquel nous accédons. Bien que la plupart des sites Web stockent les mots de passe dans un format sécurisé (haché), ils sont toujours régulièrement compromis. On estime que plus de deux milliards d’ensembles d’informations d’identification (y compris les mots de passe) ont été divulgués en ligne en 2021.

Viennent ensuite les Passkeys

Les appareils Apple utilisant la dernière version du système d’exploitation (iOS 16 ou MacOS Ventura) intégreront un nouveau mécanisme de mot de passe appelé Passkeys. Malheureusement, les utilisateurs d’iPad devront attendre un peu plus longtemps pour la fonctionnalité.

Il convient de noter que vous ne serez pas forcé d’utiliser les Passkeys, mais votre appareil Apple vous invitera à le faire. De plus, la plupart des sites Web continueront de prendre en charge l’accès par mot de passe pour les personnes ne disposant pas des derniers appareils.

Vous aurez également la possibilité d’utiliser le stockage cloud sécurisé d’Apple, iCloud, pour sauvegarder vos clés et les partager sur vos appareils Apple.

Comment travaillent-ils?

Le concept derrière Passkeys est relativement simple. Chaque site Web sur lequel vous choisissez d’utiliser Passkeys générera en toute sécurité une paire unique de codes secrets (appelés « clés »).

L’une d’entre elles est une clé publique, stockée sur le site Web sur lequel vous êtes inscrit. L’autre est une clé privée stockée sur votre appareil. Les deux clés sont liées, mais l’une ne peut pas être utilisée pour obtenir l’autre.

Lorsque vous tentez de vous connecter au site Web, au lieu d’entrer un mot de passe, votre appareil vous demandera de vérifier votre connexion à l’aide du mécanisme de déverrouillage biométrique de votre appareil. Ainsi, vous numériserez soit votre visage, soit votre doigt.

Cela limite délibérément la fonctionnalité de Passkeys aux appareils prenant en charge la biométrie (les iPhone proposent Touch ID depuis 2013 et Face ID depuis 2017).



Lire la suite : L’iPhone fête ses 15 ans : un regard sur le passé (et l’avenir) de l’un des appareils les plus influents du 21e siècle


Une fois vos données biométriques vérifiées, votre appareil utilisera votre clé privée pour prouver votre identité au site Web en relevant un « défi » mathématique complexe lancé par le site. À aucun moment, votre clé privée n’est envoyée sur Internet au site Web.

La réponse de votre appareil ne peut être vérifiée que par le site Web, à l’aide de la clé publique générée lors de votre inscription. Et personne ne peut se faire passer pour vous sans votre clé privée, qui est stockée en toute sécurité sur votre appareil.

Si un site Web est compromis, la clé publique seule est inutile pour les cybercriminels.

Un diagramme des quatre étapes impliquées dans l'authentification Web sans mot de passe, qui se produit entre l'appareil d'un utilisateur et le site ou le service en ligne auquel il accède.
L’authentification Web sans mot de passe utilise une combinaison de deux clés, une publique et une privée.
Paul Haskell-Dowland

De plus, alors que la technologie biométrique boîte être compromis, c’est relativement difficile. Pour exploiter une combinaison biométrie/PassKeys, un criminel devrait d’abord obtenir votre appareil, puis faire un excellent travail en falsifiant votre visage ou votre empreinte digitale (ou en vous en forçant une) – des circonstances peu probables pour la plupart des utilisateurs.

Obstacles à l’utilisabilité

Passkeys sera initialement lancé sur Apple, mais d’autres suivront de près. Microsoft lancera probablement bientôt son propre équivalent, bien qu’il ne soit pas initialement compatible avec l’implémentation d’Apple. Cela pourrait être un problème pour les personnes souhaitant utiliser à la fois un iPhone et un ordinateur portable Windows.

À l’avenir, il est important qu’Apple, Google et Microsoft travaillent ensemble pour assurer une compatibilité maximale entre les appareils.

Jusque-là, il existe des solutions de contournement. Si vous avez besoin d’accéder à un service protégé par Apple Passkeys sur votre ordinateur portable Windows (ou tout autre appareil), vous pouvez scanner un code QR avec votre iPhone et fournir ainsi votre vérification de connexion biométrique.

Les QRCodes permettent l'utilisation de Passkeys sur des appareils non pris en charge (ou lors de l'utilisation d'un ordinateur ami).
Les codes QR permettront l’utilisation de Passkeys sur des appareils non pris en charge (ou lors de l’utilisation de l’ordinateur d’un ami).
Pomme

Cela signifie que les utilisateurs devront toujours avoir leur téléphone sur eux lorsqu’ils souhaitent s’authentifier auprès d’un service distant, alors qu’actuellement, ils peuvent simplement taper leur mot de passe ou utiliser un gestionnaire de mots de passe synchronisé sur leurs appareils.

Pour certains utilisateurs, avoir besoin de leur téléphone tout le temps peut suffire à donner un laissez-passer à Passkeys.

La longue queue de l’adoption

L’approche Passkeys a le potentiel de rendre les mots de passe obsolètes, mais cela obligera les organisations du monde entier à y investir du temps, des efforts et de l’argent.

Les grands acteurs comme les sociétés de médias sociaux sont bien placés pour adopter Passkeys dès le début, mais il y aura des millions de sites Web qui pourraient prendre des années pour le faire – ou peut-être jamais.

En effet, en regardant l’état des lieux aujourd’hui, de nombreux sites leaders n’appliquent toujours pas les bonnes pratiques existantes en matière de mots de passe. Il est donc difficile de dire exactement à quelle vitesse et dans quelle mesure les Passkeys seront mis en œuvre.



Lire la suite : Quatre façons de vous assurer que vos mots de passe sont sûrs et faciles à retenir


Leave a Comment