Le premier jeudi de mai est apparemment la « Journée mondiale du mot de passe », et pour célébrer Pomme, Google (en anglais seulement, et Microsoft lance un »effort conjoint« pour tuer le mot de passe. Les principaux fournisseurs de systèmes d’exploitation souhaitent « étendre la prise en charge d’une norme de connexion sans mot de passe commune créée par l’Alliance FIDO et le World Wide Web Consortium ».
La norme est appelée soit une « accréditation FIDO multi-périphériques », soit simplement une « clé d’accès ». Au lieu d’une longue chaîne de caractères, ce nouveau schéma aurait l’application ou le site Web auquel vous vous connectez pour envoyer une demande d’authentification à votre téléphone. À partir de là, vous devrez déverrouiller le téléphone, vous authentifier avec une sorte de code PIN ou biométrique, puis vous êtes en route. Cela ressemble à un système familier pour toute personne ayant configuré une authentification à deux facteurs basée sur le téléphone, mais il s’agit d’un remplacement du mot de passe plutôt que d’un facteur supplémentaire.
Un graphique a été fourni pour l’interaction de l’utilisateur :
Certains systèmes push 2FA fonctionnent sur Internet, mais ce nouveau schéma FIDO fonctionne sur Bluetooth. Comme l’explique le livre blanc, « Bluetooth nécessite une proximité physique, ce qui signifie que nous disposons désormais d’un moyen résistant au phishing d’exploiter le téléphone de l’utilisateur lors de l’authentification ». Bluetooth a une terrible réputation de compatibilité, et je ne suis pas sûr que la « sécurité » ait jamais été une réelle préoccupation, mais l’alliance FIDO note que Bluetooth est juste « pour vérifier la proximité physique » et que le processus de connexion réel « ne dépend pas des propriétés de sécurité Bluetooth ». Bien sûr, cela signifie que les deux appareils auront besoin de Bluetooth à bord, ce qui est une évidence pour la plupart des smartphones et des ordinateurs portables, mais pourrait être une demande difficile pour les anciens PC de bureau.
Semblable à la façon dont un gestionnaire de mots de passe peut unifier vos connexions sous un seul mot de passe, vos clés d’accès peuvent être sauvegardées par un grand détenteur de plate-forme comme Apple ou Google. Cela vous permettrait d’apporter facilement vos informations d’identification à un nouvel appareil, de vous éviter de les perdre et de faciliter la synchronisation des clés d’accès entre les appareils. Si vous perdez votre appareil, vous pouvez toujours récupérer vos comptes en vous connectant (euh, avec un mot de passe?) à votre grand compte de titulaire de plate-forme. Il peut également être judicieux d’avoir plus d’un appareil configuré comme authentificateur.
Les entreprises essaient de devenir « sans mot de passe » depuis des années, mais il a été difficile d’y parvenir. Google a toute une chronologie sur son billet de blog à partir de 2008. Les mots de passe fonctionnent bien s’ils sont longs, aléatoires, secrets et uniques, mais l’élément humain des mots de passe est toujours un problème. Nous ne sommes pas doués pour mémoriser de longues chaînes aléatoires de caractères. Il est tentant d’écrire des mots de passe ou de les réutiliser, et les stratagèmes de phishing tentent de vous inciter à donner votre mot de passe à un tiers. Lorsqu’une violation de la sécurité se produit, les paires de noms d’utilisateur et de mots de passe sont faciles à partager, et il existe d’énormes bases de données d’informations d’identification compromises.
Le billet de blog de FIDO indique : « Ces nouvelles fonctionnalités devraient être disponibles sur les plates-formes Apple, Google et Microsoft au cours de l’année à venir. » Apple, qui semble avoir lancé toute la tendance « passkey », dispose déjà d’un système opérationnel dans iOS 15 et macOS Monterey, mais c’est non compatible avec d’autres plates-formes encore. La prise en charge de la clé d’accès de Google a déjà a été repéré dans Play Services sur Android, il devrait donc être rapidement pris en charge par des appareils Android encore plus anciens dès qu’il est prêt.
Image de la liste par FIDO Alliance