Google annonce un effort majeur pour permettre à ses titulaires de comptes personnels de se connecter avec le remplacement du mot de passe connu sous le nom de “mots de passe”. La fonctionnalité est lancée aujourd’hui pour les milliards de comptes de l’entreprise, et les utilisateurs pourront la rechercher de manière proactive et l’activer. Google indique qu’il prévoit de promouvoir les clés d’accès dans les mois à venir et de commencer à inciter les titulaires de compte à convertir leur nom d’utilisateur et leur mot de passe traditionnels en une clé d’accès.
L’authentification par mot de passe est la norme sur Internet (et dans l’informatique en général) depuis des décennies, mais le système présente de sérieux problèmes de sécurité, à savoir que les attaquants peuvent voler votre mot de passe ou vous inciter à le leur donner lors d’attaques de phishing. Le schéma de clé de passe est spécifiquement conçu pour lutter contre les attaques de phishing en s’appuyant sur un modèle différent qui utilise des clés cryptographiques stockées sur vos appareils pour l’authentification du compte.
Dans l’année qui s’est écoulée depuis que l’association industrielle connue sous le nom de FIDO Alliance a commencé à promouvoir publiquement le déploiement des clés de sécurité, les fabricants des plus grands systèmes d’exploitation grand public au monde – Microsoft, Google et Apple – ont lancé l’infrastructure nécessaire pour prendre en charge les clés de sécurité. Mais si vous n’avez toujours jamais utilisé de passe-partout dans votre vie quotidienne, vous êtes loin d’être le seul.
La prochaine étape vers l’adoption des clés d’accès consiste pour les services à proposer des clés d’accès comme option de connexion pour les comptes d’utilisateurs. Jusqu’à présent, des entreprises comme PayPal, Shopify, CVS Health, Kayak et Hyatt ont sauté le pas. Le lancement aujourd’hui des clés d’accès pour les utilisateurs de Google est remarquable compte tenu des ressources et de l’ampleur de l’entreprise.
« C’est très, très important », déclare Andrew Shikiar, directeur exécutif de l’Alliance FIDO. « C’est un point d’inflexion. Une entreprise comme Google permettant cela avec tant de personnes voyant réellement des connexions par clé de passe, elles seront plus susceptibles de les utiliser ailleurs. Et cela accélérera également les plans de déploiement d’autres entreprises et les aidera à mieux se déployer, car nous en tirerons des leçons en tant qu’organisme. »
Vous pouvez vous connecter avec des clés d’accès à l’aide de capteurs biométriques tels que des scanners d’empreintes digitales ou de visage, le code PIN de verrouillage de l’appareil de votre smartphone ou des dongles d’authentification physiques tels que YubiKeys. Pour transférer votre compte Google, accédez à ce lien, connectez-vous avec votre nom d’utilisateur, votre mot de passe et tous les facteurs d’authentification supplémentaires que vous avez configurés, puis cliquez sur “+ Créer un mot de passe” sur l’appareil que vous utilisez.
“Nous avons ici une opportunité de changer la façon dont les utilisateurs envisagent de se connecter”, déclare Christiaan Brand, responsable des produits d’identité et de sécurité chez Google et coprésident du groupe de travail technique FIDO2. “Si nous pouvons changer la façon dont la connexion fonctionne pour votre compte Google, nous espérons que les consommateurs commenceront à s’habituer davantage à la technologie, et signaleront également à l’industrie que nous ne parlons pas seulement de ce genre de choses, c’est prêt pour adoption aux heures de grande écoute.
Les clés d’accès peuvent se synchroniser entre vos appareils via des services cryptés de bout en bout comme Google Password Manager et iCloud Keychain. Ou vous pouvez configurer des clés d’accès sur plusieurs appareils en générant un code QR sur un appareil connecté à votre compte Google qui désignera un autre appareil sur lequel vous souhaitez vous connecter.