Qu'est-ce qu'un passkey ?
- Glossaire IAM
- Qu'est-ce qu'un passkey ?
Un passkey est une technologie moderne d'authentification sans mot de passe qui permet aux utilisateurs de se connecter à des comptes et des applications en utilisant une clé cryptographique au lieu d'un mot de passe. Un passkey fait appel à la biométrie (empreinte digitale, reconnaissance faciale, etc.) pour confirmer l'identité de l'utilisateur.
Quelle est la différence entre un passkey et un mot de passe ?
Malgré des noms similaires, les passkeys sont très différents des mots de passe.
Qu'est-ce qu'un mot de passe ?
Un mot de passe est une chaîne de caractères que les utilisateurs doivent fournir lorsqu'ils se connectent à un site Internet ou à une appli, généralement en association avec un nom d'utilisateur. Pour éviter les violations de données et les prises de contrôle de comptes, le NIST recommande que les mots de passe soient composés des éléments suivants :
- Un minimum de huit caractères
- La possibilité d'utiliser tous les caractères spéciaux, sans obligation particulière de les utiliser
- La restriction des caractères séquentiels et répétitifs (par exemple, 12345 ou aaaaaa)
- La restriction des mots de passe spécifiques au contexte (par exemple le nom du site)
- La limitation des mots de passe couramment utilisés (comme azerty, motdepasse123) et des mots du dictionnaire
Qu'est-ce qu'un passkey ?
Un passkey est une nouvelle technologie d'authentification qui fait appel à la cryptographie à clé publique pour permettre aux utilisateurs de se connecter à des sites Internet et à des applications, sans avoir à saisir de mot de passe. Les utilisateurs s'authentifient de la même manière qu'ils déverrouillent leurs téléphones et tablettes : avec leur empreinte digitale, leur visage ou d'autres éléments biométriques, en utilisant un modèle de balayage ou en saisissant un code PIN. Pour des raisons pratiques, la plupart des gens opteront pour l'authentification biométrique.
Au lieu de créer un mot de passe pour se connecter à un compte, les utilisateurs génèrent un passkey (qui est en fait une paire composée d'une clé privée et d'une clé publique) en utilisant un authentificateur. Cet authentificateur peut être un appareil, comme un smartphone ou une tablette, un navigateur Web ou un gestionnaire de mots de passe qui prend en charge la technologie passkey.
Avant de générer un passkey, l'authentificateur demande à l'utilisateur de s'identifier à l'aide d'un code PIN, d'un modèle de balayage ou de données biométriques. L'authentificateur envoie ensuite la clé publique (qui est à peu près l'équivalent d'un nom d'utilisateur) au serveur web du compte pour qu'il la stocke, et l'authentificateur stocke localement la clé privée de manière sécurisée. Si l'authentificateur est un smartphone ou un autre appareil, la clé privée sera stockée dans le trousseau de l'appareil. Si l'authentificateur est un gestionnaire de mots de passe, la clé privée sera stockée dans le coffre-fort chiffré du gestionnaire de mots de passe.
Comment fonctionne un passkey ?
Pour créer un nouveau passkey, l'utilisateur se connecte normalement à son compte, puis active l'option passkey dans l'écran des paramètres de sécurité du site Web ou de l'application. Le site Web ou l'application invite ensuite l'utilisateur à enregistrer un passkey associé à son appareil. Le navigateur Web ou le système d'exploitation demande alors une authentification biométrique pour approuver la demande, et le passkey est stocké localement.
Lors des connexions ultérieures au site Web, l'utilisateur sera invité à utiliser un passkey provenant de son appareil pour se connecter, au lieu d'un mot de passe. Si le navigateur Web prend en charge la synchronisation des passkeys entre les appareils, le passkey sera disponible sur tous ces appareils.
Si l'utilisateur utilise un appareil qui n'a pas de passkey pour le site Internet ou l'application, il peut utiliser un autre appareil. Si le navigateur prend en charge l'authentification inter-appareils, il peut proposer à l'utilisateur un code QR qui peut être scanné par un appareil mobile pour terminer la connexion. L'authentification inter-appareils implique également l'utilisation de Bluetooth pour assurer la proximité.
Voici ce que voit l'utilisateur final. Intéressons-nous à ce qui se passe en coulisses, au niveau du serveur. Lorsqu'un utilisateur final tente de se connecter à son compte avec un passkey, le serveur du compte envoie un « défi » à l'authentificateur, composé d'une chaîne de données. L'authentificateur utilise la clé privée pour résoudre le défi et renvoie une réponse, un processus qui consiste à « signer » les données et à vérifier l'identité de l'utilisateur.
On notera qu'à aucun moment de ce processus, le serveur du compte n'a besoin d'accéder à la clé privée de l'utilisateur, ce qui signifie également qu'aucune information sensible n'est jamais transmise. Ce résultat est possible parce que la clé publique (que le serveur stocke) est mathématiquement liée à la clé privée. Le serveur n'a besoin que de la clé publique et des données signées pour vérifier que la clé privée appartient à l'utilisateur.
Les passkeys sont-ils plus sécurisés ?
Les passkeys sont plus sûrs que les mots de passe, pour de nombreuses raisons :
- Pour que les mots de passe fonctionnent, les serveurs de comptes doivent les stocker (ou au moins stocker leurs hachages) afin de pouvoir comparer les données stockées avec le mot de passe saisi par l'utilisateur. Comme indiqué dans la partie précédente, la technologie passkey ne demande pas aux serveurs de comptes de stocker les clés privées des utilisateurs, mais uniquement leurs clés publiques. En cas de violation du serveur du compte, les acteurs de la menace n'auront accès qu'aux clés publiques, qui sont inutiles sans les clés privées qui les accompagnent.
- La plupart des gens ont une mauvaise hygiène en matière de mots de passe. Ils utilisent des mots de passe trop courts, qui contiennent des mots du dictionnaire ou des informations biographiques faciles à deviner. Ils réutilisent leurs mots de passe sur plusieurs sites. Et au lieu d'utiliser un gestionnaire de mots de passe, ils stockent leurs mots de passe sur des post-it ou dans des fichiers texte non chiffrés. Les passkeys, quant à eux, sont générés par l'authentificateur de l'utilisateur. Ils sont donc toujours très complexes et uniques pour chaque utilisateur et chaque compte, à chaque fois.
- De nombreuses personnes ne sécurisent pas non plus leurs comptes avec l'authentification à deux facteurs (2FA). Par nature, les passkeys reposent sur l'authentification à deux facteurs. Pour utiliser un passkey, l'utilisateur final doit avoir son authentificateur à portée de main, ce qui répond aux critères suivants : quelque chose que l'utilisateur est (la biométrie) et quelque chose qu'il possède (l'authentificateur).
- Contrairement aux mots de passe, les passkeys ne peuvent pas être compromis lors de tentatives de hameçonnage, car il est impossible de pousser un utilisateur à saisir un passkey sur un faux site.
Les passkeys vont-ils remplacer les mots de passe et les gestionnaires de mots de passe ?
Si les passkeys peuvent éventuellement remplacer les mots de passe, ils ne remplaceront pas les gestionnaires de mots de passe. Au contraire, les gestionnaires de mots de passe vont prendre encore plus d'importance. En effet, les passkeys sont liés à un authentificateur. Les utilisateurs ont le choix d'utiliser un appareil (généralement un smartphone, mais aussi une tablette, un ordinateur portable ou de bureau) ou un gestionnaire de mots de passe qui prend en charge les passkeys.
De prime abord, l'utilisation d'un smartphone comme authentificateur peut sembler être l'option logique, car la plupart des gens ont leur téléphone sur eux en permanence. Cependant, comme la plupart des gens utilisent plusieurs appareils, cette solution s'avère rapidement peu pratique. Si un utilisateur veut accéder à un compte ou à une application sur un autre appareil, comme son ordinateur portable ou sa tablette, il devra générer un code QR sur cet appareil, puis le scanner avec son authentificateur, et enfin utiliser ses données biométriques pour se connecter.
Un gestionnaire de mots de passe comme Keeper, qui prendra en charge les passkeys au début de l'année 2023, simplifiera grandement ce processus en liant le passkey à une application plutôt qu'à un appareil physique.
Quelles sont les entreprises qui prennent en charge les passkeys ?
À l'heure où nous écrivons ces lignes, le nombre de sites Internet et d'applications qui prennent en charge cette technologie est encore faible. Apple, Microsoft, Best Buy, GoDaddy, PayPal, Kayak et eBay sont parmi les grands noms qui prennent en charge les passkeys pour le moment.
Cependant, les passkeys sont de plus en plus populaires en raison de leur commodité et de leur sécurité. Google a intégré la prise en charge des passkeys dans la version stable M108 de Chrome pour Windows, Android et macOS en décembre 2022. La prise en charge pour iOS et Chrome OS est en cours, ainsi qu'un nouvel ensemble d'API qui permettra aux applications Android de prendre en charge les passkeys.