Google propose aux développeurs de commencer à tester une procédure d’authentification sans mot de passe avec les passkeys. Cette technologie est disponible dans les versions bêta du navigateur Chrome et des Google Play Services.
Comme Apple, Google mise sur les passkeys (clés de mots de passe) pour remplacer les mots de passe. Et vient de franchir une étape capitale : les développeurs peuvent désormais commencer à implémenter cette technique d’authentification plus simple et beaucoup plus sécurisée sur Android (via la version bêta des Google Play Services), ainsi que sur la version Canary du navigateur Chrome.
A lire aussi : Tout comprendre au Multi-device FIDO, cette norme conçue pour enfin tuer les mots de passe
Pour l’utilisateur d’un smartphone Android, le processus sera simple. Le système proposera la création d’une passkey pour le site concerné et il faudra simplement confirmer l’information du compte, puis utiliser le mécanisme d’authentification du smartphone (code PIN, reconnaissance faciale ou empreinte digitale). Cet enrôlement permet de générer une clé publique, qui est transmise au fournisseur de service, et une clé privée qui reste stockée dans le terminal.
La procédure est ensuite aussi simple lors de l’authentification sur le site. Le système propose d’utiliser la passkey qui a été créée, puis de confirmer par le système d’authentification du smartphone (empreinte digitale dans l’exemple ci-dessous).
Un message d’authentification signé avec la clé privée est alors envoyé au fournisseur de service, qui pourra vérifier la signature avec la clé publique.
La passkey du smartphone peut être aussi utilisée pour se connecter sur un site en utilisant un autre appareil, par exemple un ordinateur portable. Il faut alors utiliser sur le smartphone un QR code qui est affiché sur le site.
L’objectif est de permettre l’utilisation des passkeys sur différentes plates-formes : Windows, macOS, ChromeOS, Android et iOS. Ainsi, un utilisateur du navigateur Chrome sur Windows pourra s’authentifier sur un site en utilisant une passkey stockée sur un appareil iOS.
Pour arriver à ce résultat, Google a travaillé avec la FIDO Alliance et le W3C, mais aussi avec Apple et Microsoft. La prochaine étape sera de développer cette année une API pour permettre l’utilisation des passkeys sur les applications Android natives. Avec la promesse d’un futur radieux, débarrassé des mots de passe…
Source :
Google