Bien que les mots de passe ne soient pas prêts de disparaître complètement, les clés d’accès représentent un pas en avant vers un futur sans mots de passe. Des entreprises comme Apple, Microsoft et Google se sont engagées à soutenir cette nouvelle norme de connexion créée par l’alliance FIDO (Fast IDentity Online). C’est à la firme de Mountain View que nous allons nous intéresser aujourd’hui.
Petit bémol, on dirait que ça ne concerne qu’Android. J’ai raison ?
Je veux bien un système alternatif, pourquoi pas.
Mais en aucun cas un système basé sur un téléphone
Non, ça peut fonctionner sur un ordinateur Windows aussi par exemple (macOS et iOS aussi à priori, mais j’ai pas testé) :
Et ça peut aussi utiliser certains gestionnaires de mot de passe pour le stockage de la clé (à priori Dashlane le supporte déjà, Bitwarden ça devrait arriver sous peu).
Ça tombe bien, ce n’est pas le cas. La clé d’accès peut être générée et stockée sur n’importe quel appareil ou logiciel implémentant ce qu’il faut…
Concrètement, là comme le montre ma capture d’écran, j’ai créé sur mon PC principal une clé d’accès qui est gérée par Windows Hello (d’où l’icône Windows pour illustrer).
Du coup maintenant sur ce PC, je peux me connecter à mon compte Google depuis n’importe quel logiciel gérant les clés d’accès (par exemple, Wavebox le navigateur spécialisé que j’utilise pour mes mails/calendrier, Chrome, Firefox, Edge) sans avoir à fournir mon mot de passe Google, je n’ai qu’à fournir mon identifiant de compte et à m’identifier sur Windows Hello (avec toutes les méthodes supportées par Hello : reconnaissance faciale, empreinte digitale, clé physique, code PIN, mot de passe, mot de passe image).
Après saisi de mon identifiant Google, il me propose en effet d’utiliser la clé d’accès comme méthode d’authentification, plutôt que de me demander mon mot de passe :
Et si je valide, c’est Windows Hello qui me demande de m’authentifier :
1 « J'aime »
En cas de piratage de ton tel, ordi ou autre il n’y a pas plus de risque que le mot de passe, vu que le login est simplifié (pin par ex) ?
Autre question. Si on active ce système, on peut quand même se connecter par mot de passe ? Sur un ordi public, d’un ami, de la famille, etc….
Les clés U2F/FIDO2 sont de petites clés USB (à partir de 20 euros) et c’est génial, j’ai testé pendant le confinement où j’avais plus de temps pour des expérimentations. Malheureusement peu de suivi par l’industrie: je peux utiliser ces clés pour le manager OVH (très bien pour protéger le nom de domaine et ne pas dépendre des insupportables codes de vérification par mail qui arrivent toujours sur une boîte où l’on n’a pas accès), sur le mail Yahoo (avec quelques bugs), sur les applis Google, sur Synology, Linux, ainsi que pour protéger le compte admin des sites Wordpress. Par contre, pour Windows, il faut être dans un domaine dans le cloud Microsoft (ce que je ne veux absolument pas, tous mes comptes sont locaux, pas question de donner mon mot de passe à Gates et sa clique), Amazon ne supporte pas celà, les banques non plus, ce qui est dommage.
Pour les inquiets, j’ai des clés de secours conservées ailleurs et OVH donne des codes de dépannage à usage unique que l’on imprime au moment de l’activation d’une clé.
Je pense que rien que la sécurisation de Wordpress justifie d’avoir ce genre de clé.
Il y a moins de risque, car en cas de piratage de ton ordi tu peux par exemple te retrouver avec un keylogger qui va récupérer ton mot de passe, alors que la clé d’accès est stockée chiffrée, et la saisie du PIN se fait dans un contexte sécurisé à l’abri des keylogger (au moins quand c’est le gestionnaire de clés de l’OS… je sais pas ce qu’il en est avec un gestionnaire de clés tiers).
Bien sûr, il faut par contre opter pour un code PIN sûr. Perso je met 8 chiffres pour le PIN Windows Hello (sachant qu’au bout de 3 essais infructueux, il faut redémarrer le PC, ce qui limite sacrément le bruteforce…) et si on veut encore plus de sécurité on peut aussi mettre des lettres.
Oui. Ça reste le moyen de connexion par défaut sur les machines où tu n’as pas encore de clé d’accès enregistrée.