Bonjour à tous et bienvenue dans le ZD Tech, le podcast quotidien de la rédaction de ZDNet. Je m’appelle Guillaume Serries et aujourd’hui, je vous explique pourquoi nous allons passer des mots de passe aux clés de passe. Et surtout, pourquoi c’est mieux.
Adieu les mots de passe ? L’éditeur de gestionnaires de mots de passe 1Password vient d’annoncer qu’il supportera en 2023 les clés de passe, ou clés d’accès. Et une démo est d’ores et déjà disponible.
Mais que sont les clés de passe ? Les « passkeys », c’est le terme en anglais, utilisent la norme WebAuthn, créée par l’Alliance FIDO et le World Wide Web Consortium – le W3C – et servent à remplacer les mots de passe par des paires de clés cryptographiques.
Clé publique et clé privée
Cette paire est composée d’une clé publique qui peut être partagée et d’une clé privée qui ne peut pas l’être, et qui permet aux utilisateurs de se connecter à des comptes.
WebAuthn est pris en charge par Google Chrome, Apple Safari et Microsoft Edge. Les clés WebAuthn fonctionnent également avec des systèmes biométriques comme Face ID d’Apple et Windows Hello de Microsoft.
1Password rejoindra donc Apple, Google et Microsoft qui ont déjà mis des passkeys à la disposition des développeurs et des utilisateurs pour leurs navigateurs et systèmes d’exploitation respectifs.
Les passkeys sont plus résistantes que les mots de passe au phishing
Le mois dernier, PayPal a ajouté la prise en charge des passkeys sur iPhone, iPad et Mac pour se connecter à paypal.com.
Mais quelle est la différence entre les passkeys et les mots de passe ? Eh bien, les passkeys sont plus résistantes que les mots de passe au phishing et aux attaques par force brute sur les mots de passe. Ils permettent également de se passer d’un code d’authentification à deux facteurs, qui sécurise mieux les mots de passe.
1Password affirme que les principaux avantages des passkeys sont qu’elles sont fortes par défaut, et surtout qu’il n’est pas nécessaire de les mémoriser puisqu’elles sont stockées sur l’appareil.
Surtout, la clé privée n’est pas partagée avec le site web auquel on se connecte. Et enfin, la clé publique ne peut pas être utilisée pour deviner la clé privée.