En octobre 2022, Google a commencé à intégrer la prise en charge des clés d'accès à son système d'exploitation Android et à son navigateur Chrome en version bêta. Dans un article de blog, Google a expliqué que les clés d'accès constituent un nouveau moyen de se connecter aux applications et aux sites web. Elles sont plus simples d'utilisation et plus sûres que les mots de passe.
Les utilisateurs n'ont plus besoin de se fier aux noms d'animaux, aux dates de naissance ou à la chaîne de caractères « motdepasse123 », pourtant si facile à deviner. Les clés d'accès permettent désormais aux utilisateurs de se connecter aux applications et aux sites web de la même manière qu'ils déverrouillent leurs appareils avec une empreinte digitale, un scan du visage ou un code PIN de verrouillage d'écran. Contrairement aux mots de passe, les clés d'accès résistent aux attaques en ligne comme le phishing, ce qui les rend plus sûres que des codes à usage unique envoyés par SMS.
La clé d'accès est une option complémentaire au mot de passe habituel et à la vérification en deux étapes pour les comptes Google. Les utilisateurs peuvent configurer des clés d'accès pour leurs comptes via le site web d'assistance de Google. Les administrateurs pourront bientôt également configurer des clés d'accès pour les comptes des employés.
Le principal avantage du mot de passe est d’aider les utilisateurs à rester en sécurité et à éviter la fraude en ligne.
Dans un article publié sur le blog Google Security, l'entreprise explique le fonctionnement des clés d'accès et explique en quoi elles sont plus sécurisées qu'un simple mot de passe. Les clés d'accès sont stockées sur l'appareil de l'utilisateur, et non sur un serveur. Google précise que le composant principal d'une clé d'accès est une clé cryptographique privée, stockée sur l'appareil de l'utilisateur.
Lorsqu'un utilisateur crée une clé, une clé publique correspondante est téléchargée sur Google. Lors de la connexion, Google demande à l'appareil de signer avec la clé privée. L'appareil de l'utilisateur ne le fera que s'il accepte, ce qui nécessite de le déverrouiller. Google vérifie ensuite la signature avec la clé publique.
Si un utilisateur perd son appareil, il peut révoquer la clé d'accès dans les paramètres de son compte. Google recommande aux utilisateurs d'avoir un numéro de téléphone et une adresse e-mail de récupération pour tous leurs comptes afin de faciliter la modification des paramètres à distance.
Lien source
Comment (0)