Finis les mots de passe, bienvenue aux clés de passe
Listen now
Description
Bonjour à tous et bienvenue dans le ZDTech, le podcast quotidien de la rédaction de ZDNet. Je m’appelle Guillaume Serries et aujourd’hui, je vous explique pourquoi nous allons passer des mots de passe aux clés de passe. Et surtout, pourquoi c'est mieux. Adieu les mots de passe ? L'éditeur de gestionnaire de mot de passe 1Password vient d'annoncer qu'il supportera en 2023 les clés de passe ou clés d'accès. Et une démo est d'ors et déjà disponible. Mais qu'est ce que sont les clés de passe ? Les passkeys, c'est le terme en anglais, utilisent la norme WebAuthn, créée par l'Alliance FIDO et le World Wide Web Consortium - le W3C - et servent à remplacer les mots de passe par des paires de clés cryptographiques. Cette paire est composée d'une clé publique qui peut être partagée et une clé privée qui ne l'est pas, et qui permettent aux utilisateurs de se connecter à des comptes. WebAuthn est pris en charge par Google Chrome, Apple Safari et Microsoft Edge. Les clés WebAuthn fonctionnent également avec des systèmes biométriques comme Face ID d'Apple et Windows Hello de Microsoft. 1Password rejoindra donc Apple, Google et Microsoft qui ont déjà mis des passkeys à la disposition des développeurs et des utilisateurs pour leurs navigateurs et systèmes d'exploitation respectifs. Le mois dernier, PayPal a ajouté la prise en charge des passkeys sur iPhone, iPad et Mac pour se connecter à PayPal.com. Mais quelle est la différence entre les passkeys et les mots de passe ? Et bien les passkeys sont plus résistants que les mots de passe au phishing et aux attaques par force brute sur les mots de passe. Ils permettent également de se passer d'un code d'authentification à deux facteurs, qui sécurise mieux les mots de passe. 1Password affirme que les principaux avantages des passkeys sont qu'elles sont fortes par défaut, et surtout qu'il n'est pas nécessaire de les mémoriser puisqu'elles sont stockées sur l'appareil. Surtout, la clé privée n'est pas partagée avec le site Web auquel on se connecte. Et enfin, la clé publique ne peut pas être utilisée pour deviner la clé privée.