Google et WhatsApp font un pas de plus vers la disparition des mots de passe
En vous connectant à un service Google au cours de ces derniers jours, vous avez peut-être vu un message vous incitant à vous authentifier sans mot de passe. C'est une nouvelle action prise par le géant du web pour renforcer la sécurité des comptes. Après avoir démarré la prise en charge des clés d'accès au printemps, Google en fait d'ores et déjà sa méthode de connexion par défaut.
Ces clés cryptographiques (ou passkeys) évitent d'avoir à mémoriser un mot de passe compliqué et ne sont pas sensibles aux attaques de phishing, entre autres avantages. On les tourne dans la serrure des sites en validant son identité sur son appareil grâce à son empreinte digitale ou son visage.
Si vous décidez d'en créer une pour votre compte Google ou un autre site compatible, la clé sera stockée dans le gestionnaire de mots de passe de votre choix (trousseau iCloud, gestionnaire intégré à Chrome, 1Password, Dashlane…)… pourvu que celui-ci prenne en compte cette nouvelle méthode d'authentification. Comme la transition logicielle est encore loin d'être terminée, Google laisse la possibilité de saisir un mot de passe même si une clé d'accès est rattachée à son compte.
Un autre service extrêmement populaire propose maintenant de se connecter avec un passkey : WhatsApp. Pour l'heure, cette option est réservée aux utilisateurs Android, mais elle devrait être généralisée plus tard à tous.
C’est quoi, les passkeys ?
Cool 👍
C'est la même chose que les mots de passe à usage unique ?
@Adodane
Non, ça remplace les mots de passe de connexion ET le second facteur
J’ai recu un pop up hier dans gmail pour l’activer ✅
Uber les prend également en charge depuis quelques jours
Pour ceux qui veulent suivre le déploiement des passkeys : 1Password tient un site/annuaire :
https://passkeys.directory
Comment peut-on trouver plus sécurisé de stocker des données personnelles sensibles en ligne plutôt que d'avoir un mot de passe en local, voire dans son cerveau ? J'ai du mal à comprendre : je n'utilise ni iCloud ni aucun gestionnaire de mots de passe, et je n'en ai pas l'intention à terme. Je pense que j'achèterai plutôt une YubiKey ou autre, ça me paraît plus sécurisé. Je dois être trop vieux et/ou parano…
@nykk
En théorie tous les gestionnaires de mots de passe chiffrent les données de bout en bout. Pour ce qui est de 1Password (celui que je connais le mieux), le couple identifiant/mot de passe ne suffit pas à déchiffrer les données. Il faut y ajouter une « clé secrète » créée sur l’appareil et qui ne transite pas sur les serveurs d’AgileBits.
Le problème des mots de passe que l’on connaît c’est qu’il est impossible d’en avoir un unique pour chaque site et suffisamment compliqué pour ne pas être cassé par force brute.
Je ne ferai confiance qu'à un gestionnaire de mots de passe libre et open-source, même si ça parait futile à certains ici. Quant aux Yubikeys, c'est bien une authentification locale, non, donc rien ne transite sur le Web ?
@nykk
Au contraire c’est tout sauf futile, c’est même le 1er critère pour beaucoup !
Bitwarden propose une solution tout à fait accessible que l’on peut ne pas synchroniser ou seulement avec votre propre serveur.
Pour ma part j’ai longtemps hésité entre BitWarden et 1Password mais c’est vrai que ce dernier est vraiment très très bien fini (et l’abonnement famille est offert par mon employeur)
"Le problème des mots de passe que l’on connaît c’est qu’il est impossible d’en avoir un unique pour chaque site et suffisamment compliqué pour ne pas être cassé par force brute": si, c'est possible! Il suffit d'un petit algorithme mental personnel pour générer un mot de passe unique à partir d'un mot de passe universel + le nom du site ou du service. Exemple: Mon?Mot:De*Passe9 + macg = ma_Mon?Mot:De*Passe9_cg. Bon, faut que l'algorithme soit un peu moins facile à deviner, mais c'est pas si sorcier. Le seul truc chiant, c'est les sites qui imposent des contraintes à la con, genre une longueur maxi, ou l'interdiction de certains caractères… et bien sûr ceux qui forcent à changer le mot de passe régulièrement.
@nykk
Tu t’aveugles en croyant que Yubikey est plus sûr que le reste…
@nykk
Pareil, par rapport à la double authentification je vois pas encore l'avantage niveau sécurité et côté pratique.
@nykk
Les passkey c’est exactement la même chose qu’une Ubikey. Sauf que la dite clé est rattaché à autre chose (smartphone, ordi, compte Apple, etc.). En terme de sécurité, il faut voir ça comme un pas entre les mdp et les clés perso.
Il y a une très bonne vidéo de CrossTalk Solutions qui fait le tour de la chose.
@nykk
Ni trop vieux, ni parano, juste plein de bon sens, qui devient rare. 👍