Connexion sans mot de passe avec un mot de passe

Introduction

Les clés d'accès constituent une alternative plus sûre et plus simple aux mots de passe. Les clés d'accès permettent aux utilisateurs de se connecter à des applications et à des sites Web à l'aide d'un capteur biométrique (comme une empreinte digitale ou la reconnaissance faciale), un code ou un schéma, ce qui leur évite d'avoir à mémoriser et gérer des mots de passe.

Les développeurs et les utilisateurs détestent tous deux les mots de passe: ils nuisent à l'expérience utilisateur, génèrent des frictions de conversion, et créent une responsabilité liée à la sécurité pour les utilisateurs et les développeurs. Le Gestionnaire de mots de passe de Google dans Android et Chrome simplifie le processus de saisie automatique. Pour les développeurs qui souhaitent améliorer davantage les conversions et la sécurité, les clés d'accès et la fédération d'identité sont les approches modernes du secteur.

Une clé d'accès peut répondre aux exigences d'authentification multifacteur en une seule étape, en remplaçant à la fois un mot de passe et un mot de passe à usage unique (par exemple, un code SMS à six chiffres) pour offrir une protection robuste contre les attaques d'hameçonnage et éviter les problèmes d'expérience utilisateur liés aux mots de passe ponctuels basés sur des SMS ou des applications. Étant donné que les clés d'accès sont standardisées, une seule implémentation permet une expérience sans mot de passe sur tous les appareils des utilisateurs, sur différents navigateurs et systèmes d'exploitation.

Les clés d'accès sont plus faciles à utiliser:

• Les utilisateurs peuvent sélectionner un compte avec lequel se connecter. La saisie du nom d'utilisateur n'est pas obligatoire.
• Les utilisateurs peuvent s'authentifier à l'aide du verrouillage de l'écran de l'appareil, tel qu'un lecteur d'empreinte digitale, la reconnaissance faciale ou un code.
• Une fois une clé d'accès créée et enregistrée, l'utilisateur peut facilement basculer sur un nouvel appareil et l'utiliser immédiatement sans avoir à le réenregistrer (contrairement à l'authentification biométrique traditionnelle, qui doit être configurée sur chaque appareil).

Les clés d'accès sont plus sûres:

• Les développeurs n'enregistrent qu'une clé publique sur le serveur plutôt qu'un mot de passe. Il est donc beaucoup moins intéressant pour un acteur malveillant de pirater des serveurs, et beaucoup moins de nettoyage en cas de violation.
• Les clés d'accès protègent les utilisateurs contre les tentatives d'hameçonnage. Les clés d'accès ne fonctionnent que sur les sites Web et les applications enregistrés. L'authentification d'un utilisateur sur un site trompeur n'est pas forcée, car le navigateur ou l'OS gère la validation.
• Les clés d'accès réduisent les coûts d'envoi de SMS, ce qui les rend plus sûrs et plus économiques pour l'authentification à deux facteurs.

Que sont les clés d'accès ?

Une clé d'accès est un identifiant numérique associé à un compte utilisateur et à un site Web ou une application. Les clés d'accès permettent aux utilisateurs de s'authentifier sans devoir saisir un nom d'utilisateur ou un mot de passe, ni fournir de facteur d'authentification supplémentaire. Cette technologie vise à remplacer les anciens mécanismes d'authentification, tels que les mots de passe.

Lorsqu'un utilisateur souhaite se connecter à un service qui utilise des clés d'accès, son navigateur ou son système d'exploitation l'aide à sélectionner et à utiliser la bonne clé d'accès. L'expérience ressemble à celle des mots de passe enregistrés aujourd'hui. Pour garantir que seul le propriétaire légitime peut utiliser une clé d'accès, le système lui demande de déverrouiller son appareil. Pour cela, vous pouvez utiliser un capteur biométrique (empreinte digitale ou reconnaissance faciale, code, schéma, etc.).

Pour créer une clé d'accès pour un site Web ou une application, l'utilisateur doit d'abord s'inscrire sur ce site Web ou cette application.

1. Accédez à l'application et connectez-vous à l'aide de la méthode de connexion existante.
2. Cliquez sur le bouton Créer une clé d'accès.
3. Vérifiez les informations stockées avec la nouvelle clé d'accès.
4. Utilisez le déverrouillage de l'écran de l'appareil pour créer la clé d'accès.

Lorsqu'il retourne sur ce site Web ou dans cette application pour se connecter, il peut suivre les étapes suivantes:

1. Accédez à l'application.
2. Appuyez sur le champ du nom de compte pour afficher la liste des clés d'accès dans une boîte de dialogue de saisie automatique.
3. Sélectionnez sa clé d'accès.
4. Utilisez le déverrouillage de l'écran de l'appareil pour vous connecter.

L'appareil de l'utilisateur génère une signature basée sur la clé d'accès. Cette signature permet de vérifier les identifiants de connexion entre l'origine et la clé d'accès.

Un utilisateur peut se connecter à des services sur n'importe quel appareil à l'aide d'une clé d'accès, quel que soit l'emplacement où celle-ci est stockée. Par exemple, une clé d'accès créée sur un téléphone mobile peut être utilisée pour se connecter à un site Web sur un autre ordinateur portable.

Comment fonctionnent les clés d'accès ?

Les clés d'accès sont destinées à être utilisées via une infrastructure de système d'exploitation qui permet aux gestionnaires de clés d'accès de créer, sauvegarder et rendre des clés d'accès accessibles aux applications exécutées sur ce système d'exploitation. Sur Android, les clés d'accès peuvent être stockées dans le Gestionnaire de mots de passe de Google, qui synchronise les clés d'accès entre les appareils Android de l'utilisateur connectés au même compte Google. Les clés d'accès sont chiffrées de manière sécurisée sur l'appareil avant d'être synchronisées et doivent être déchiffrées sur les nouveaux appareils. Les utilisateurs d'Android 14 ou version ultérieure peuvent choisir de stocker leurs clés d'accès dans un gestionnaire de mots de passe tiers compatible.

Les utilisateurs ne sont pas obligés d'utiliser des clés d'accès uniquement sur l'appareil où ils sont disponibles. Les clés d'accès disponibles sur les téléphones peuvent être utilisées lorsque l'utilisateur se connecte à un ordinateur portable, même si la clé d'accès n'est pas synchronisée avec l'ordinateur, tant que celui-ci est à proximité et que l'utilisateur approuve la connexion sur le téléphone. Étant donné que les clés d'accès sont basées sur les normes FIDO, tous les navigateurs peuvent les adopter.

Par exemple, un utilisateur visite example.com sur le navigateur Chrome sur son ordinateur Windows. Cet utilisateur s'est déjà connecté à example.com sur son appareil Android et a généré une clé d'accès. Sur la machine Windows, l'utilisateur choisit de se connecter avec une clé d'accès d'un autre appareil. Les deux appareils se connectent et l'utilisateur est invité à approuver l'utilisation de sa clé d'accès sur l'appareil Android, par exemple avec un lecteur d'empreinte digitale. Il est ensuite connecté sur la machine Windows. Notez que la clé d'accès elle-même n'est pas transférée vers la machine Windows. Par conséquent, example.com propose généralement d'y créer une nouvelle clé d'accès. Ainsi, le téléphone ne sera pas requis la prochaine fois que l'utilisateur souhaite se connecter. Pour en savoir plus, consultez la section Se connecter avec un téléphone.

Qui utilise les clés d'accès ?

Un certain nombre de services utilisent déjà des clés d'accès dans leurs systèmes.

• DocuSign
• Google
  • Le début de la fin du mot de passe
  • Blog Google sur la sécurité en ligne : Authentification plus rapide que jamais avec les clés d'accès et les mots de passe
• Kayak
• Mercari
• NTT DoCoMo
• PayPal
• Shopify
  • Comment les clés d'accès réduisent les obstacles à l'expérience d'achat en ligne
  • Prise en charge des clés d'accès dans les flux d'authentification de Shop
• Les marchands Yahoo! JAPON
  • Centre d'aide Yahoo! L'authentification sans mot de passe du Japon a réduit de 25 % le nombre de requêtes, ce qui a divisé la durée de connexion par 2,6.

Essayez par vous-même

Vous pouvez essayer les clés d'accès dans cette démo : https://passkeys-demo.appspot.com/

Considérations sur la confidentialité

• Étant donné que la connexion avec une biométrie peut donner aux utilisateurs une fausse impression, ce qui envoie des informations sensibles au serveur. En réalité, les matériaux biométriques ne quittent jamais l'appareil personnel de l'utilisateur.
• Les clés d'accès elles-mêmes ne permettent pas de suivre les utilisateurs ou les appareils entre les sites. La même clé d'accès n'est jamais utilisée avec plusieurs sites. Les protocoles de clé d'accès sont conçus avec soin, de sorte qu'aucune information partagée avec les sites ne peut être utilisée comme vecteur de suivi.
• Les gestionnaires de clés protègent les clés d'accès contre les accès et les utilisations non autorisés. Par exemple, le Gestionnaire de mots de passe de Google chiffre les codes d'accès de bout en bout. Seul l'utilisateur peut y accéder et s'en servir, et même s'ils sont sauvegardés sur des serveurs Google, Google ne peut pas les utiliser pour usurper l'identité des utilisateurs.

Points à noter concernant la sécurité

• Les clés d'accès utilisent la cryptographie à clé publique. La cryptographie à clé publique réduit les risques de violation des données. Lorsqu'un utilisateur crée une clé d'accès avec un site ou une application, une paire de clés publique/privée est générée sur l'appareil de l'utilisateur. Seule la clé publique est stockée par le site, mais cette clé est inutile pour les pirates informatiques. Un pirate informatique ne peut pas obtenir la clé privée de l'utilisateur à partir des données stockées sur le serveur, ce qui est nécessaire pour effectuer l'authentification.
• Comme les clés d'accès sont liées à l'identité d'un site Web ou d'une application, elles sont protégées contre les attaques d'hameçonnage. Le navigateur et le système d'exploitation garantissent qu'une clé d'accès ne peut être utilisée qu'avec le site Web ou l'application qui les a créés. Cela évite aux utilisateurs d'avoir à se connecter au véritable site Web ou à l'application.

Recevoir des notifications

Abonnez-vous à la newsletter pour les développeurs sur les clés d'accès Google pour recevoir des notifications sur les mises à jour de clés d'accès.

Étapes suivantes

• Compatibilité des clés d'accès sur Android et Chrome
• Questions fréquentes
• Exemples d'utilisation
• Guide du développeur sur les clés d'accès pour les tiers de confiance
• Découvrez comment vous connecter à une application Android à l'aide du gestionnaire d'identifiants.