En plus d’annoncer la prise en charge initiale d’Android et de Chrome, Google a annoncé aujourd’hui détaillé comment les clés de passe sur Android seront synchronisées avec son gestionnaire de mots de passe.
Une seule clé d’authentification identifie un compte d’utilisateur particulier sur un service en ligne. Un utilisateur a différents mots de passe pour différents services. Les systèmes d’exploitation de l’utilisateur, ou des logiciels similaires aux gestionnaires de mots de passe actuels, permettent une gestion conviviale des clés d’accès.
Cet avenir sans mot de passe que l’industrie pousse met fortement l’accent sur votre téléphone et votre compte d’identité/synchronisation d’Apple (ID), Google ou Microsoft. Il s’appuie sur la biométrie (empreintes digitales ou faciales) ou sur le déverrouillage par mot de passe pour vous authentifier et vous connecter. En attendant, ce compte sera utilisé si vous configurez un nouvel appareil ou si vous perdez votre appareil existant.
L’ingrédient principal d’un mot de passe est une clé privée cryptographique. Dans la plupart des cas, cette clé privée ne vit que sur les propres appareils de l’utilisateur, tels que les ordinateurs portables ou les téléphones portables. Lorsqu’un mot de passe est créé, seule sa clé publique correspondante est stockée par le service en ligne. Lors de la connexion, le service utilise la clé publique pour vérifier une signature à partir de la clé privée. Cela ne peut provenir que d’un des appareils de l’utilisateur.
Sur Android, les clés d’accès seront sauvegardées et synchronisées avec le gestionnaire de mots de passe de Google, que la société a mis en avant ces derniers temps. Les clés d’accès peuvent exister sur plusieurs appareils (téléphone + tablette, ancien + nouveau téléphone, etc.) car « la même clé privée peut exister sur plusieurs appareils ».
En termes de protection, « les clés privées de clé de passe sont chiffrées au repos sur les appareils de l’utilisateur, avec une clé de chiffrement protégée par le matériel ». Les clés de passe sont également cryptées de bout en bout avec Google Password Manager.
Lorsqu’une clé d’accès est sauvegardée, sa clé privée est téléchargée uniquement sous sa forme cryptée à l’aide d’une clé de cryptage accessible uniquement sur les propres appareils de l’utilisateur. Cela protège les clés de sécurité contre Google lui-même ou, par exemple, contre un attaquant malveillant à l’intérieur de Google. Sans accès à la clé privée, un tel attaquant ne peut pas utiliser le mot de passe pour se connecter à son compte en ligne correspondant.
Google a expliqué aujourd’hui le processus de récupération, ainsi que l’expérience de la configuration d’un nouveau téléphone avec des clés de passe. Fondamentalement, les clés de chiffrement de bout en bout de votre ancien téléphone sont transférées vers le nouveau dans le cadre du processus normal de migration de l’appareil. Vous devez connaître le « code PIN de l’écran de verrouillage, le mot de passe ou le schéma d’un autre appareil existant ayant accès à ces clés » de cet ancien appareil et être connecté au même compte Google.
Les codes PIN, mots de passe ou modèles de verrouillage d’écran eux-mêmes ne sont pas connus de Google. Les données qui permettent à Google de vérifier la saisie correcte du verrouillage de l’écran d’un appareil sont stockées sur les serveurs de Google dans des enclaves matérielles sécurisées et ne peuvent être lues par Google ou toute autre entité. Le matériel sécurisé applique également les limites sur les suppositions maximales, qui ne peuvent pas dépasser 10 tentatives, même par une attaque interne. Cela protège les informations de verrouillage de l’écran, même de Google.
FTC : Nous utilisons des liens d’affiliation automatique générateurs de revenus. Suite.
Découvrez 9to5Google sur YouTube pour plus d’informations :