Connexion sans mot de passe avec un mot de passe

Clés d'accès

Introduction

Les clés d'accès constituent une alternative plus sûre et plus facile aux mots de passe. Les clés d'accès permettent aux utilisateurs de se connecter à des applications et à des sites Web à l'aide d'un capteur biométrique (empreinte digitale ou reconnaissance faciale, par exemple), d'un code ou d'un schéma, ce qui leur évite d'avoir à mémoriser et à gérer les mots de passe.

Les développeurs et les utilisateurs détestent tous les deux les mots de passe: ils nuisent à l'expérience utilisateur, ils augmentent le niveau de friction des conversions et ils impliquent une responsabilité en termes de sécurité pour les utilisateurs et les développeurs. Le Gestionnaire de mots de passe de Google sur Android et Chrome simplifie la saisie automatique. Pour les développeurs qui souhaitent améliorer davantage la conversion et la sécurité, les clés d'accès et la fédération d'identité sont des approches modernes du secteur.

Une clé d'accès peut répondre aux exigences d'authentification multifacteur en une seule étape, en remplaçant à la fois un mot de passe et un mot de passe à usage unique (par exemple, un code SMS à six chiffres) afin d'offrir une protection robuste contre les attaques par hameçonnage et d'éviter les problèmes d'expérience utilisateur liés aux SMS ou aux mots de passe à usage unique basés sur les applications. Étant donné que les clés d'accès sont standardisées, une seule implémentation permet une expérience sans mot de passe sur tous les appareils de l'utilisateur, dans différents navigateurs et systèmes d'exploitation.

Les clés d'accès sont plus faciles à utiliser:

  • Les utilisateurs peuvent sélectionner un compte avec lequel se connecter. Il n'est pas nécessaire de saisir le nom d'utilisateur.
  • Les utilisateurs peuvent s'authentifier à l'aide du verrouillage de l'écran de l'appareil, par exemple un capteur d'empreinte digitale, la reconnaissance faciale ou un code.
  • Une fois qu'une clé d'accès est créée et enregistrée, l'utilisateur peut facilement passer à un nouvel appareil et l'utiliser immédiatement sans avoir à le réenregistrer (contrairement à l'authentification biométrique traditionnelle, qui doit être configurée sur chaque appareil).

Les clés d'accès sont plus sûres:

  • Les développeurs n'enregistrent qu'une clé publique sur le serveur au lieu d'un mot de passe. Ainsi, le piratage des serveurs s'avère beaucoup moins intéressant pour une personne malveillante, et beaucoup moins de nettoyage à effectuer en cas de violation.
  • Les clés d'accès protègent les utilisateurs des attaques par hameçonnage. Les clés d'accès ne fonctionnent que sur les applications et les sites Web enregistrés. Un utilisateur ne peut pas être victime de l'authentification sur un site trompeur, car le navigateur ou l'OS gère la validation.
  • Les clés d'accès réduisent les coûts d'envoi de SMS et constituent une méthode d'authentification à deux facteurs plus sûre et plus économique.

Que sont les clés d'accès ?

Une clé d'accès est un identifiant numérique associé à un compte utilisateur et à un site Web ou une application. Les clés d'accès permettent aux utilisateurs de s'authentifier sans avoir à saisir de nom d'utilisateur ou de mot de passe, ni à fournir un facteur d'authentification supplémentaire. Cette technologie vise à remplacer les anciens mécanismes d'authentification tels que les mots de passe.

Lorsqu'un utilisateur souhaite se connecter à un service qui utilise des clés d'accès, son navigateur ou son système d'exploitation l'aide à sélectionner et à utiliser la clé d'accès appropriée. Le fonctionnement est semblable à celui des mots de passe enregistrés aujourd'hui. Pour s'assurer que seul le propriétaire légitime peut utiliser une clé d'accès, le système lui demandera de déverrouiller son appareil. Cette opération peut être effectuée à l'aide d'un capteur biométrique (comme une empreinte digitale ou de la reconnaissance faciale), d'un code ou d'un schéma.

Pour créer une clé d'accès pour un site Web ou une application, l'utilisateur doit d'abord s'inscrire sur ce site ou dans cette application.

  1. Accédez à l'application et connectez-vous à l'aide de la méthode de connexion existante.
  2. Cliquez sur le bouton Create a passkey (Créer une clé d'accès).
  3. Vérifiez les informations stockées avec la nouvelle clé d'accès.
  4. Utilisez le déverrouillage de l'écran de l'appareil pour créer la clé d'accès.

Lorsqu'il revient sur ce site Web ou dans cette application pour se connecter, il peut effectuer les étapes suivantes:

  1. Accédez à l'application.
  2. Appuyez sur le champ du nom du compte pour afficher la liste des clés d'accès dans une boîte de dialogue de saisie automatique.
  3. Sélectionnez sa clé d'accès.
  4. Utilisez le déverrouillage de l'écran de l'appareil pour vous connecter.

L'appareil de l'utilisateur génère une signature basée sur la clé d'accès. Cette signature permet de vérifier les identifiants de connexion entre l'origine et la clé d'accès.

Un utilisateur peut se connecter aux services sur n'importe quel appareil à l'aide d'une clé d'accès, quel que soit son emplacement de stockage. Par exemple, une clé d'accès créée sur un téléphone mobile permet de se connecter à un site Web sur un ordinateur portable séparé.

Comment fonctionnent les clés d'accès ?

Les clés d'accès sont destinées à être utilisées via l'infrastructure du système d'exploitation qui permet aux gestionnaires de clés d'accès de les créer, de les sauvegarder et de les mettre à la disposition des applications exécutées sur ce système d'exploitation. Sur Android, les clés d'accès peuvent être stockées dans le Gestionnaire de mots de passe de Google, qui synchronise les clés d'accès entre les appareils Android de l'utilisateur connectés au même compte Google. Les clés d'accès sont chiffrées de manière sécurisée sur l'appareil avant d'être synchronisées et nécessite de les déchiffrer sur de nouveaux appareils. Les utilisateurs équipés d'Android 14 ou d'une version ultérieure peuvent choisir de stocker leurs clés d'accès dans un gestionnaire de mots de passe tiers compatible.

Les utilisateurs ne sont pas limités à l'utilisation des clés d'accès uniquement sur l'appareil sur lequel elles sont disponibles. Les clés d'accès disponibles sur les téléphones peuvent être utilisées lorsqu'ils se connectent à un ordinateur portable, même si elles ne sont pas synchronisées avec l'ordinateur portable, à condition que le téléphone soit à proximité de l'ordinateur portable et que l'utilisateur approuve la connexion par téléphone. Comme les clés d'accès sont basées sur les normes FIDO, tous les navigateurs peuvent les adopter.

Par exemple, un utilisateur accède à example.com dans le navigateur Chrome de son ordinateur Windows. Cet utilisateur s'est précédemment connecté à example.com sur son appareil Android et a généré une clé d'accès. Sur la machine Windows, l'utilisateur choisit de se connecter avec une clé d'accès depuis un autre appareil. Les deux appareils se connecteront, et l'utilisateur sera invité à approuver l'utilisation de sa clé d'accès sur l'appareil Android, par exemple avec un lecteur d'empreinte digitale. Il est ensuite connecté sur la machine Windows. Notez que la clé d'accès elle-même n'est pas transférée sur la machine Windows. Par conséquent, example.com vous propose généralement de créer une clé d'accès sur celle-ci. Ainsi, le téléphone n'est pas nécessaire la prochaine fois que l'utilisateur souhaite se connecter. Pour en savoir plus, consultez Se connecter avec un téléphone.

Qui utilise les clés d'accès ?

Un certain nombre de services utilisent déjà des clés d'accès dans leurs systèmes.

Essayez par vous-même

Vous pouvez essayer les clés d'accès dans cette démonstration : https://passkeys-demo.appspot.com/

Considérations sur la confidentialité

  • Parce que la connexion à l'aide de la biométrie peut donner aux utilisateurs l'impression que cette opération envoie des informations sensibles au serveur. En réalité, le matériau biométrique ne quitte jamais l'appareil personnel de l'utilisateur.
  • Les clés d'accès seules ne permettent pas de suivre les utilisateurs ou les appareils entre les sites. Une même clé d'accès n'est jamais utilisée pour plusieurs sites. Les protocoles de clés d'accès sont soigneusement conçus de sorte qu'aucune information partagée avec les sites ne puisse être utilisée comme vecteur de suivi.
  • Les gestionnaires de clés d'accès protègent les clés d'accès contre les accès et les utilisations non autorisés. Par exemple, le Gestionnaire de mots de passe de Google chiffre les secrets des clés d'accès de bout en bout. Seul l'utilisateur peut y accéder et les utiliser. Google ne peut pas les utiliser pour usurper l'identité d'un utilisateur, même s'ils sont sauvegardés sur les serveurs de Google.

Points à noter concernant la sécurité

  • Les clés d'accès utilisent la cryptographie à clé publique. La cryptographie à clé publique réduit les risques de violations de données potentielles. Lorsqu'un utilisateur crée une clé d'accès sur un site ou une application, une paire de clés publique-privée est générée sur son appareil. Seule la clé publique est stockée par le site, mais celle-ci seule est inutile pour un pirate informatique. Un pirate informatique ne peut pas extraire la clé privée de l'utilisateur à partir des données stockées sur le serveur, lesquelles sont nécessaires pour procéder à l'authentification.
  • Étant donné que les clés d'accès sont liées à l'identité d'un site Web ou d'une application, elles sont à l'abri des attaques d'hameçonnage. Le navigateur et le système d'exploitation garantissent qu'une clé d'accès ne peut être utilisée qu'avec le site Web ou l'application qui les a créées. Cela évite aux utilisateurs d'être responsables de se connecter au site Web ou à l'application authentiques.

Recevoir une notification

Abonnez-vous à la newsletter pour les développeurs de clés d'accès Google pour être informé des modifications apportées aux clés d'accès.

Étapes suivantes