Google a officiellement commencé à déployer la prise en charge de clés d’accèsla norme de connexion sans mot de passe de nouvelle génération, à sa version stable du navigateur Web Chrome.
« Les clés d’accès sont un remplacement beaucoup plus sûr des mots de passe et d’autres facteurs d’authentification hameçonnables », a déclaré Ali Sarraf du géant de la technologie. a dit. « Ils ne peuvent pas être réutilisés, ne fuient pas dans les failles de serveur et protègent les utilisateurs contre les attaques de phishing. »
La fonctionnalité de sécurité améliorée, disponible dans la version 108, intervient près de deux mois après que Google a commencé à tester l’option sur Android, macOS et Windows 11.
Clés d’accès évitez le besoin de mots de passe en demandant aux utilisateurs de s’authentifier lors de la connexion en déverrouillant leur appareil Android ou iOS à proximité à l’aide de la biométrie. Ceci, cependant, demande aux sites Web de créer un support de clé de passe sur leurs sites en utilisant le API WebAuthn.
Essentiellement, la technologie fonctionne en créant une paire de clés cryptographiques unique à associer à un compte pour l’application ou le site Web lors de l’enregistrement du compte. L’une de ces clés, la clé publique, est stockée sur le serveur. La clé privée, en revanche, ne quitte jamais l’appareil dans lequel les clés ont été générées.
Sur Android, les « clés » sont téléchargées sur Google Password Manager (ou un tiers comme 1Mot de passe ou Dashlane) pour éviter les blocages. Les clés d’accès sont synchronisé via iCloud Keychain sur iOS et macOS, tandis que Microsoft Windows devrait offrir une prise en charge en 2023.
« Lorsqu’une clé d’accès est sauvegardée, sa clé privée est téléchargée uniquement sous sa forme cryptée à l’aide d’une clé de cryptage qui n’est accessible que sur les propres appareils de l’utilisateur », a précédemment noté Arnar Birgisson, ingénieur logiciel chez Google, en octobre 2022.
L’idée est de protéger les clés d’accès de Google de manière à ce qu’un acteur malveillant au sein de l’entreprise ne puisse pas les utiliser pour se connecter à son service en ligne correspondant sans avoir accès à la clé privée.
L’entreprise d’internet et de publicité est également attendu pour mettre à disposition une nouvelle API pour fournir une prise en charge des clés de passe pour les applications Android.