Pour résoudre ce problème, le secteur de la cybersécurité fait des progrès constants vers l’authentification sans mot de passe. L’Alliance FIDO (« Fast IDentity Online »), qui a travaillé à l’élaboration de normes d’authentification sans mot de passe, est l’un des chefs de file dans ce domaine. Plus récemment, Apple a annoncé sa propre authentification sans mot de passe à l’aide de clés de passe, suivie de près par Google.
Les chercheurs de Digital Shadows ont trouvé 6,7 milliards d’identifiants uniques – combinaisons de noms d’utilisateur et de mots de passe – sur le dark web. Ce trésor d’identifiants fait courir un risque à de nombreux consommateurs, surtout si l’on considère le nombre de personnes qui réutilisent leurs mots de passe. C’est pourquoi l’adoption de l’authentification basée sur les clés de passe est susceptible de devenir une tendance à forte croissance.
Voyons ce qu’est une clé d’accès et en quoi c’est différent d’un mot de passe.
Qu’est-ce qu’une clé d’accès ?
En termes simples, une clé d’accès est un identifiant de connexion sans mot de passe. Cette nouvelle norme utilise la cryptographie à clé publique pour authentifier votre accès à des sites Web et à des applications. Au lieu de devoir créer un mot de passe pour votre compte, vous permettez à un « authentificateur » de générer un mot de passe, c’est-à-dire une paire de clés cryptographiques connexes. L’authentificateur peut être votre smartphone, un autre appareil mobile ou un gestionnaire de mots de passe qui prend en charge les clés de pass.
L’authentificateur nécessite toujours une forme de vérification de l’utilisateur. Cela peut se faire par la saisie d’un mot de passe Maître ou par la biométrie (Face ID ou Touch ID), ce qui ajoute à la fois sécurité et commodité. Avec l’identification biométrique, vous n’avez pas à vous rappeler un mot de passe pour votre authentificateur. La biométrie est également plus sûre et plus pratique pour les utilisateurs que la saisie d’un mot de passe pour un appareil ou une application.
Vos clés de passe sont stockées en toute sécurité dans un coffre-fort, tel que le trousseau de votre appareil ou votre gestionnaire de mots de passe. Comme ils peuvent être synchronisés entre les appareils, ils sont transparents et pratiques à utiliser, et l’expérience globale de l’utilisateur avec les clés de passe est une amélioration par rapport aux mots de passe.
Comment fonctionnent les clés de passe ?
Votre authentificateur génère des clés publiques et confidentielles lors de l’inscription du compte ou lorsque vous activez les clés de passe sur les comptes qui les prennent en charge. Le fournisseur de services ou le site web et votre authentificateur communiquent directement en échangeant les clés.
La clé publique, qui est envoyée au serveur web pour y être stockée, n’a aucune valeur pour un cyberpirate. Considérez-la comme votre nom d’utilisateur. Elle ne sert pas à grand-chose sans votre mot de passe.
En revanche, la clé confidentielle doit rester secrète et n’est stockée que sur votre appareil. Lorsque vous essayez de vous connecter, le serveur envoie un défi à l’authentificateur (des données aléatoires pour prouver que vous êtes la personne qui se connecte). La clé privée résout le défi et renvoie la réponse, ce qui revient à « signer » ces données avec la clé privée.
Les clés sont mathématiquement liées, ce qui signifie que lorsque les données signées sont renvoyées au serveur, celui-ci peut les vérifier à l’aide de la clé publique, mais il n’a pas besoin de connaître la clé pour les valider.
Les clés de passe versus les mots de passe
Dans le processus décrit ci-dessus, aucun contenu secret n’est échangé entre le serveur et votre authentificateur. Cette méthode est différente de l’authentification par mot de passe, où des informations sur le mot de passe secret sont échangées pour vérifier l’exactitude du mot de passe. Et comme elles sont basées sur la cryptographie à clé publique, les clés de passe ne nécessitent pas non plus le stockage de contenus secrets partagés sur un serveur.
Ce ne sont là que deux raisons pour lesquelles les clés de passe sont plus sécurisées que les mots de passe. Bien qu’aucune méthode d’authentification ne soit totalement infaillible, plusieurs autres facteurs rendent les clés de passe plus sécurisées que les mots de passe :
- Elles ne peuvent ni être devinées, ni être réutilisées.
- Elles résistent aux tentatives d’hameçonnage. Puisque les clés de passe sont uniques à l’application ou au site web pour lequel elles ont été créées, un acteur malveillant ne peut pas vous inciter à utiliser la clé d’accès sur un site similaire ou frauduleux.
- Étant donné qu’ils ne sont stockés que sur votre appareil, les cybercriminels ne peuvent pas voler vos mots de passe en piratant le serveur ou la base de données du fournisseur.
Les clés de passe remplaceront-elles les mots de passe ?
Cela prendra probablement quelques années, mais les clés de passe devraient finir par remplacer les mots de passe. Actuellement, seuls quelques sites Web prennent en charge les clés de passe, notamment PayPal, eBay, Microsoft et Best Buy.
L’Alliance FIDO travaille depuis un certain temps sur des normes d’authentification sans mot de passe. Toutefois, le développement le plus important a eu lieu récemment lorsque le consortium technologique a annoncé qu’il avait proposé une méthode pour stocker les clés cryptographiques afin qu’elles puissent être synchronisées entre les appareils. (En fait, la FIDO appelle les clés de passe des identifiants FIDO multi-dispositifs.) Cela ouvre la voie à une adoption plus large des clés de passe.
Lorsque leur adoption sera généralisée, les clés de passe modifieront radicalement la façon dont vous vous connectez à vos comptes et constitueront un pas de géant vers la protection de vos données.
Récemment, Dashlane a lancé une prise en charge intégrée des clés de passe, devenant ainsi le premier du secteur à offrir une solution de clé d’accès intégrée au navigateur. Il s’agit d’une étape naturelle vers une simplification accrue de la sécurité pour les entreprises et leurs employés.
Vous pourrez vous connecter sur plusieurs sites Web de manière transparente avec votre application Dashlane, stocker vos clés de passe sur Dashlane et vous connecter automatiquement à vos comptes. Et grâce à notre architecture brevetée « zero-knowledge », vous bénéficiez d’une couche de sécurité supplémentaire, car personne d’autre que vous ne peut accéder à vos identifiants (pas même nous).
Découvrez la nouvelle prise en charge intégrée des clés de passe de Dashlane et comment nous ouvrons la nouvelle ère de l’authentification sans mot de passe.
Nous vous remercions ! Vous êtes abonné. Soyez à l'affût des mises à jour envoyées directement à votre boîte de réception.
