Il n’y a jamais eu une question qu’il faudrait des années pour éloigner le monde des mots de passe. La technologie d’authentification numérique, bien que profondément imparfaite, est omniprésente et invétérée. Au cours des cinq dernières années, cependant, l’association de l’industrie de l’authentification sécurisée connue sous le nom de FIDO Alliance a fait de réels progrès en promouvant les «passkeys», une alternative sans mot de passe pour se connecter aux applications et aux sites Web. Et pourtant, vous utilisez probablement encore beaucoup de mots de passe chaque jour. En fait, vous n’avez peut-être aucun compte protégé par un mot de passe, malgré l’adoption généralisée de Microsoft, Google, Apple et bien d’autres.
Lors de la conférence sur la sécurité RSA à San Francisco la semaine prochaine, Christiaan Brand, coprésident du groupe de travail technique FIDO2 et responsable des produits d’identité et de sécurité chez Google, présentera une conférence sur les nouvelles fonctionnalités et la croissance de l’adoption des clés de sécurité. Il prévoit également d’examiner les défis actuels auxquels sont confrontés les mots de passe pour contrer l’inertie des mots de passe accumulée au fil des décennies, ainsi que le long jeu consistant à réduire lentement la domination du mot de passe.
“Ce que je veux souligner, c’est tout le chemin parcouru, mais quels problèmes restent encore non résolus”, déclare Brand. « Les mots de passe sont partout, et ils sont mauvais, mais tout le monde y est habitué. Les utilisateurs ne veulent pas être surpris et ils n’aiment pas le changement. Il est donc très important de considérer les clés de sécurité comme une augmentation. Nous devons en quelque sorte pousser les utilisateurs vers ce qui sera plus facile et plus sûr.”
Au cours de l’année écoulée, déclare Brand, FIDO a fait des progrès significatifs dans le déploiement de fonctionnalités pour soutenir sa vision sans mot de passe. L’infrastructure est maintenant en place pour sauvegarder les clés d’authentification afin qu’elles puissent se synchroniser entre les appareils, obtenir des services pour inviter les utilisateurs à propos des clés d’authentification plutôt que de toujours utiliser par défaut le nom d’utilisateur et le mot de passe, et utiliser la détection de proximité basée sur Bluetooth pour partager l’authentification par clé d’authentification entre les appareils. Ces trois points traitent de problèmes majeurs d’utilisabilité que FIDO a publiquement décidé d’améliorer il y a un an.
Dans la pratique, cependant, des obstacles subsistent et le développement de ces solutions a pris du temps. Par exemple, Brand affirme que le nouveau protocole de détection de proximité basé sur Bluetooth a été soigneusement conçu pour éviter les problèmes de sécurité qui affectent souvent les implémentations Bluetooth. L’idée était de supprimer la plupart des fonctionnalités de Bluetooth et d’utiliser exclusivement le protocole pour les contrôles de proximité plutôt que pour les transferts de données. Cette approche a permis aux clés d’accès de contourner de nombreuses bizarreries et problèmes de fiabilité de Bluetooth lors de la tentative de couplage d’appareils.
Développer une « expérience utilisateur » (UX) cohérente pour les clés de sécurité sur différents systèmes d’exploitation et services Web est cependant un défi permanent. Si, par exemple, vous vous connectez à votre compte Google à partir d’un Mac à l’aide de mots de passe traditionnels, vos informations d’identification sont toujours vérifiées par rapport à ce que Google a enregistré pour votre compte sur l’un des serveurs de l’entreprise. Mais les avantages des clés d’accès en matière de sécurité et de résistance au phishing viennent du fait qu’elles fonctionnent différemment. Si vous utilisez un mot de passe pour vous connecter à votre compte Google à partir d’un Mac, la vérification cryptographique s’effectue localement et Apple n’est jamais directement impliqué. Tout ce que l’utilisateur expérimente pendant l’interaction est facilité par macOS, pas Google.
