En octobre 2022, Google a commencé à intégrer la prise en charge de Passkey à Android et au navigateur Chrome en version bêta. Dans un article de blog, Google a indiqué que Passkey est une nouvelle méthode de connexion aux applications et aux sites web, plus simple et plus sûre que les mots de passe.
Par conséquent, les utilisateurs n'ont plus besoin de se fier aux noms de leurs animaux de compagnie, à leurs dates de naissance ou à la fameuse suite de mots de passe « password123 », réputée facile à deviner. Désormais, les clés d'accès leur permettent de se connecter aux applications et aux sites web de la même manière qu'ils déverrouillent leurs appareils par empreinte digitale, reconnaissance faciale ou code PIN. Contrairement aux mots de passe, les clés d'accès résistent aux attaques en ligne telles que le phishing, ce qui les rend plus sûres que les codes SMS à usage unique.
La clé d'accès est une option supplémentaire au mot de passe standard et à la validation en deux étapes pour les comptes Google. Les utilisateurs peuvent configurer une clé d'accès pour leurs comptes via le site d'assistance Google. Les administrateurs pourront également bientôt configurer des clés d'accès pour les comptes de leurs employés.
Le principal avantage de PassKey est qu'il aide les utilisateurs à rester en sécurité et à éviter les arnaques en ligne.
Dans un article de blog consacré à la sécurité, Google explique en détail le fonctionnement des clés d'accès et en quoi elles offrent une sécurité supérieure à celle des mots de passe classiques. Les clés d'accès sont stockées sur l'appareil de l'utilisateur, et non sur un serveur. Google précise que l'élément principal d'une clé d'accès est une clé cryptographique privée, elle aussi stockée sur l'appareil de l'utilisateur.
Lorsqu'un utilisateur génère une clé, la clé publique correspondante est importée sur Google. Lors de la connexion, Google invite l'appareil à signer avec la clé privée. L'appareil de l'utilisateur ne s'exécute que s'il y consent, ce qui nécessite de le déverrouiller. Google vérifie ensuite la signature à l'aide de sa clé publique.
En cas de perte de leur appareil, les utilisateurs peuvent récupérer leur code d'accès dans les paramètres de leur compte. Google recommande d'enregistrer un numéro de téléphone et une adresse e-mail de récupération sur tous ses comptes afin de pouvoir modifier facilement ces paramètres à distance.
Lien source
Comment (0)