Les clés d'accès sur Android vous simplifient la vie : voici comment les utiliser
Sommaire
Liens rapides
-
Pourquoi utiliser des clés d’accès plutôt que des mots de passe ?
-
Il y a quelques limites
Les clés d'accès sont la première étape concrète d'Android vers la connexion sans mot de passe. Elles ne sont pas encore tout à fait au point, mais elles permettent d'éviter le souci d'oublier (et de mémoriser) les mots de passe lorsqu'elles sont prises en charge. Permettez-moi de vous montrer comment vous pouvez vous connecter à des applications et à des sites simplement en scannant votre empreinte digitale.
Pourquoi les mots de passe sont-ils nuls ?
Depuis que nous avons des ordinateurs, nous avons toujours eu besoin de les partager. Une façon astucieuse de partager une machine avec plusieurs personnes consiste à donner à chacun un texte secret ou un « mot de passe ». Chacun a son propre mot de passe secret lié à son identifiant ou à son nom. Une liste de ces mots de passe secrets est enregistrée sur l'ordinateur. Lorsque quelqu'un saisit une combinaison de mot de passe et de nom d'utilisateur, l'ordinateur la compare à la liste des mots de passe qu'il a enregistrée.
Si la combinaison est correcte, l'authentification est complète et l'ordinateur se déverrouille. Plus tard, nous avons utilisé la même solution pour donner accès à des sites Web sur Internet. Aujourd'hui, les noms d'utilisateur et les mots de passe font partie de ces choses dont nous oublions qu'elles n'ont pas toujours existé (du moins, c'est mon cas).
Je vous explique comment fonctionnent les mots de passe pour comprendre pourquoi ils ne sont pas efficaces. Dans le scénario que nous venons de décrire, deux copies du mot de passe circulent. L'une d'elles se trouve chez l'utilisateur et l'autre dans la base de données de l'ordinateur.
Pour l'utilisateur final, il est pénible de se souvenir de ses mots de passe et encore plus pénible de les oublier. Il doit également rendre ses mots de passe plus difficiles à deviner, de sorte qu'il ne peut pas simplement choisir quelque chose de facile à retenir (certains sites demandent même de créer un mot de passe fort). De plus, les OTP et autres formes d'authentification à deux facteurs (2FA) étendent encore davantage le processus de connexion.
Au-delà de leur simple inconvénient, les mots de passe présentent un gros défaut de sécurité inhérent à leur conception. Étant donné qu'une copie de votre mot de passe est conservée dans la base de données du site, si elle fuit, l'intégralité de votre compte est exposée. Vous avez probablement entendu parler des violations de données et de la façon dont les noms d'utilisateur et les mots de passe des gens se retrouvent dans les recoins les plus obscurs d'Internet, en masse, et accessibles à tous.
Il arrive que des pirates créent des copies identiques de sites Web réputés et les publient sur Internet dans l’espoir que quelqu’un confonde leur faux site avec le vrai et tente de s’y connecter. Il s’agit d’une attaque de « phishing ». Une fois que la victime a mordu à l’hameçon et s’est connectée au faux site Web avec son vrai mot de passe, l’attaquant vole ce mot de passe. Les attaques de phishing sont extrêmement courantes.
Que sont les clés d'accès ?
Les clés d’accès sont radicalement différentes des mots de passe. Au lieu d’un mot de passe qui agit comme « clé » pour déverrouiller le compte, les clés d’accès fonctionnent sur la base d’une authentification biométrique. En clair, vous pouvez vous connecter à un site Web ou à une application de la même manière que vous déverrouillez votre téléphone. Au lieu de saisir un nom d’utilisateur et un mot de passe, vous choisissez l’option clé d’accès et scannez simplement votre empreinte digitale ou saisissez votre code PIN pour vous connecter.
En coulisses, le mot de passe repose sur deux clés distinctes : une clé publique et une clé privée. La clé publique est enregistrée sur le site Web et la clé privée est conservée en toute sécurité sur votre téléphone ou votre ordinateur. Lorsque vous essayez de vous connecter à votre compte, la clé privée (qui est liée à la clé publique) est utilisée pour authentifier votre identité.
Aucune copie de la clé privée n'est enregistrée sur le site Web et elle n'est envoyée nulle part. À aucun moment, le service détenant la clé publique ne voit la clé privée.
Pourquoi utiliser des clés d’accès plutôt que des mots de passe ?
Vous devriez utiliser un gestionnaire de mots de passe si ce n'est pas déjà le cas. C'est le seul moyen de créer et d'utiliser des mots de passe inviolables à la volée. Chaque fois que vous vous inscrivez sur un site ou une application, le gestionnaire de mots de passe vous demandera de créer et d'enregistrer un mot de passe fort pour le nouveau compte, puis lors de votre prochaine visite, il remplira automatiquement les informations d'identification pour vous.
Depuis que j'utilise un gestionnaire de mots de passe, je dois compter sur lui pour remplir automatiquement mes mots de passe (forts mais impossibles à mémoriser). Ainsi, chaque fois que je dois me connecter à un appareil sur lequel mon gestionnaire de mots de passe n'est pas déjà configuré, je dois copier manuellement les mots de passe de mon téléphone. Les clés d'accès m'épargnent ce problème.
Même si vous n'utilisez pas de gestionnaire de mots de passe, les clés d'accès vous faciliteront grandement la vie numérique. Vous n'aurez plus besoin de cliquer sur le lien redouté « mot de passe oublié ». Et vos connexions seront instantanées et sans effort.
Les clés d'accès sont également beaucoup plus sûres et sophistiquées. Elles sont robustes par défaut. La conception à double clé cryptée est impossible à forcer (ou à deviner) et à hameçonner. Même si quelqu'un parvient d'une manière ou d'une autre à récupérer la clé privée (qui est enregistrée sur l'appareil), il ne peut rien en faire sans votre authentification biométrique.
Il n'y a aucun mot de passe à voler et il n'y a pas besoin d'authentification à deux facteurs. Ainsi, avec des clés d'accès en place, vous n'aurez jamais à attendre un SMS, un e-mail ou un OTP d'authentification.
Configuration d'une clé d'accès
Google a intégré la fonctionnalité de clé d'accès dans l'application Google Password Manager. Considérez-la comme un remplacement de la combinaison nom d'utilisateur et mot de passe, que nous enregistrons généralement dans le gestionnaire de mots de passe. Au lieu d'une combinaison, nous allons maintenant simplement enregistrer une clé d'accès.
La première étape consiste à créer la clé d'accès. Si un site ou une application prend en charge les clés d'accès, il vous proposera automatiquement de créer une clé d'accès lorsque vous tenterez de vous connecter avec votre nom d'utilisateur et votre mot de passe. Acceptez l'invite et enregistrez la clé d'accès dans le gestionnaire de mots de passe de Google avec votre empreinte digitale. Vous devrez peut-être également accéder aux paramètres de l'application pour en créer une manuellement. Par exemple, WhatsApp dispose d'un menu dédié « Clés d'accès » dans les paramètres « Compte ».
Pour vous montrer à quoi cela pourrait ressembler en action, je vais créer une nouvelle clé d'accès sur un site Web. Accédez à Passkeys.io si vous souhaitez suivre. Il s'agit d'un site de démonstration où vous pouvez tester le fonctionnement des clés d'accès.
Commencez par créer un nouveau compte. Attribuez-lui une adresse e-mail fictive et appuyez sur le bouton « Créer un mot de passe ». Confirmez la création avec votre empreinte digitale et appuyez sur le bouton « Continuer ».
Utiliser un mot de passe est très simple. Il vous suffit d'appuyer sur un champ de saisie et de sélectionner le menu « Utiliser un mot de passe ». Certains sites disposent d'un bouton dédié à l'utilisation de mots de passe à côté des options de connexion habituelles. Faites-le et sélectionnez un mot de passe enregistré dans le menu contextuel. Il vous suffit ensuite d'utiliser votre écran de verrouillage pour terminer la connexion.
Google vous proposera automatiquement de créer des clés d'accès lorsque vous vous connecterez avec succès avec un compte Google sur Android.
Il y a quelques limites
Jusqu'à très récemment, les clés d'accès étaient limitées à la version Android du gestionnaire de mots de passe de Google. Et vous deviez scanner un code QR avec votre téléphone Android pour utiliser les clés d'accès sur d'autres appareils. Mais Google étend désormais cette fonctionnalité à d'autres plateformes, notamment Windows, macOS, Linux et même ChromeOS.
Deuxièmement, toutes les applications et tous les services n’ont pas encore adopté les mots de passe. De nombreuses applications populaires, dont Spotify, WhatsApp et Discord, disposent de cette fonctionnalité, mais beaucoup d’entre elles sont encore bloquées sur des mots de passe. Vous pouvez consulter une liste détaillée de toutes les applications et services pris en charge sur cette page.
Les clés d'accès représentent l'avenir. Elles rendront notre vie numérique beaucoup plus pratique et sécurisée en remplaçant (espérons-le) les mots de passe à un moment donné. Vous passez à côté de quelque chose si vous n'avez pas encore commencé à les utiliser.