Google veut que vous sachiez que les jours du mot de passe sont comptés. Place aux passkeys. Ces clés de passe se composent de deux clés cryptographiques : une clé publique enregistrée auprès du service en ligne ou de l’application, et une clé privée stockée sur un appareil, tel qu’un smartphone ou un ordinateur. Cela peut sembler compliqué, mais les passkeys ont été conçus pour être faciles à utiliser.
En fait, pour se connecter avec un passkey, il suffit d’utiliser son visage, son empreinte digitale ou son code PIN, de la même manière que l’on déverrouille son smartphone.
Dans un billet de blog, Heather Adkins, vice-présidente de l’ingénierie de sécurité chez Google, a annoncé que depuis le lancement des passkeys, plus de 400 millions de comptes Google ont été sécurisés à l’aide de passkeys. En outre, ces utilisateurs ont enregistré collectivement plus d’un milliard d’authentifications. Ce qui témoigne de l’adoption et de l’utilisation croissantes de cette fonctionnalité de sécurité relativement nouvelle.
Dépasser les formes traditionnelles de vérification en deux étapes
En fait, l’utilisation des passkeys pour les comptes Google a maintenant dépassé les formes traditionnelles de vérification en deux étapes (2SV – 2 Steps Validation), y compris les mots de passe à usage unique (OTP – One-time password) basés sur les SMS. Et les OTP basés sur les applications (comme ceux utilisés dans les applications Authenticator).
Selon Google, les utilisateurs de clés de connexion se connectent 50 % plus rapidement que ceux qui utilisent des mots de passe. Ce qui renforce la sécurité et l’efficacité de leurs processus d’authentification.
Google a également annoncé son intention d’intégrer les passkeys dans son programme de protection avancée (APP). Un programme qui propose des mesures de sécurité renforcées aux utilisateurs de comptes Google à haut risque, tels que ceux des activistes, des politiciens et des journalistes. Les utilisateurs inscrits à ce programme auront bientôt la possibilité de passer à l’utilisation exclusive des passkeys ou de les utiliser en conjonction avec des mots de passe traditionnels ou des clés de sécurité matérielles.
Alors, qu’est-ce qui empêche tout le monde d’adopter les passkeys ?
Pendant des années, l’accent a été mis sur la création de mots de passe complexes comme meilleure ligne de défense pour sécuriser les comptes numériques. Mais aujourd’hui, les gens sont désorientés et se demandent ce qui a changé. Il est difficile de faire comprendre que le paysage de la sécurité numérique est en constante évolution, et avec lui, les stratégies de sécurisation de l’accès aux informations en ligne.
Certes, les passkeys proposent une nouvelle approche de la sécurité, plus rationnelle et plus sûre, en réduisant considérablement le risque de phishing et en éliminant la nécessité de mémoriser et de gérer plusieurs mots de passe. Mais il est difficile de le faire comprendre à l’utilisateur moyen.
Les clés d’accès ont des problèmes d’adoption
La transition des mots de passe traditionnels vers les clés de sécurité comporte en effet son lot de défis. Notamment en raison de la nature abstraite des clés de sécurité par rapport au format tangible et familier des mots de passe. Les mots de passe, qui impliquent des interactions avec des prompts à l’écran, des codes QR et une authentification basée sur l’appareil, peuvent sembler décourageants en raison de leur complexité perçue.
Dire aux utilisateurs qu’ils peuvent se connecter à un site en deux fois moins de temps n’est pas une carotte suffisante pour encourager beaucoup d’entre eux à changer.
Les mots de passe sont donc loin d’être morts.