IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Google lance Passkeys pour Android pour encourager les usagers à ne plus utiliser de mot de passe
Afin de réduire la fréquence des usurpations d'identité

Le , par Sandra Coret
8 commentaires

5PARTAGES

6  0 
50 % des incidents de sécurité sont dus au vol de mots de passe ou d'informations d'identification clés des utilisateurs.

Les acteurs de la menace connaissent toutes les ficelles du métier et il existe un énorme problème à ce sujet. Et c'est peut-être l'une des principales raisons pour lesquelles les géants de la technologie comme Google introduisent les clés de sécurité comme la meilleure alternative aux mots de passe à l'heure actuelle.

Google n'est pas le seul à passer à la vitesse supérieure. Microsoft, LastPass et même Okta s'orientent vers une initiative où l'authentification sans mot de passe est la règle.

En gardant cette vision à l'esprit, Google a rendu publique sa décision d'éviter les mots de passe et d'introduire des clés de vérification sur les appareils Android.

L'entreprise ajoute que cette décision a été prise afin de rendre beaucoup plus difficile pour les cybercriminels de réussir à mener leurs attaques et à pirater les systèmes des utilisateurs en toute simplicité.

Cette nouvelle intervient alors qu'Apple et Microsoft se sont associés au géant des moteurs de recherche pour montrer un plus grand soutien aux ouvertures de session liées à des thèmes sans mot de passe en mars 2022.

Il est clair que les mots de passe ne suffisent plus et qu'ils sont à l'origine de nombreux problèmes.

Les recherches menées par SpyCloud ont également mis en évidence la naïveté des utilisateurs qui ont tendance à réutiliser leurs propres mots de passe pour de multiples plateformes parce qu'ils pensent que c'est pratique. Mais ils sont peu conscients des grandes menaces liées à ce comportement.

La solution consiste donc à se débarrasser des mots de passe dans leur ensemble, car cela permettra de réduire la fréquence des usurpations d'identité. C'est pourquoi les passkeys sont considérés comme une solution de remplacement moderne et plus sûre et un excellent moyen d'authentifier une entrée sur une plate-forme.

Les experts estiment que les clés éliminent tous les risques liés à la réutilisation des mots de passe et aux brèches dans les bases de données des comptes. De plus, elles offrent une protection contre toutes les formes d'attaques de phishing.

Le fait que la technologie sur laquelle il est basé soit conçue en tenant compte des normes industrielles est un autre point qui mérite réflexion. En outre, il est possible de l'utiliser aussi bien pour les systèmes d'exploitation que pour la navigation.

Il est conçu pour permettre aux utilisateurs de sauvegarder et de synchroniser leurs clés avec leur cloud. Au final, en cas de perte de leur appareil, ils ne seront pas confrontés à une situation de verrouillage.


Google a également indiqué qu'il allait permettre aux développeurs de prendre en charge les clés d'accès sur le Web grâce à Chrome et à l'API WebAuthn.

Au fur et à mesure que les jours passent et que de plus en plus de personnes sont sensibilisées, la demande de marchés sans mot de passe augmente au fur et à mesure. Selon les estimations des experts, sa valeur pourrait passer de près de 13 milliards de dollars à 54 milliards de dollars d'ici 2030.

De même, on insiste beaucoup pour que les fournisseurs ne s'appuient pas sur les mots de passe. Nous avons déjà vu Apple rendre public son projet de les éliminer et de promouvoir les clés de passe, tandis que l'authentification pourrait se faire par le biais de Face et Touch IDs. Microsoft fait quelque chose de similaire sous la forme d'un toucher biométrique et d'un code PIN pour l'authentification.

Alors que de plus en plus de personnes adoptent cette tendance, les fournisseurs seront mis sous pression pour offrir un accès plus large aux options sans mot de passe.

Source : Google

Et vous ?

Quel est votre avis sur l'arrêt de l'utilisation des mots de passe ?
Pensez-vous que cela va réellement résoudre les problèmes liés au vol d'identité ?

Voir aussi :

Un système sans mot de passe donnera-t-il trop de pouvoir aux grandes entreprises technologiques ? La FIDO Alliance tente de rendre les mots de passe obsolètes

Les connexions sans mot de passe pourraient arriver plus tôt que prévu, 84 % des professionnels de l'informatique estimant que c'est un objectif qu'ils doivent absolument atteindre

57 % des entreprises affirment que l'utilisation de méthodes sans mot de passe a considérablement réduit les frictions et amélioré l'expérience des utilisateurs, selon SecureAuth

Une erreur dans cette actualité ? Signalez-nous-la !

8 commentaires
Commenter Signaler un problème
onilink_
Avatar de onilink_
Membre émérite https://www.developpez.com
Le 10/12/2022 à 17:41
Dès qu'il s'agit de centralisation de mots de passe c'est une ânerie.

C'est comme les gestionnaires de mots de passe qui stockent les mots de passe.... sur le cloud.
Car oui Jamy, c'est très logique!

Mais bon c'est un problème qui n'a pas de solution magique.
Soit on choisis la simplicité d'utilisation et on se retrouve plus ou moins forcé à utiliser un tiers de confiance ou une centralisation des moyens d'authentification (pour pouvoir retrouver ses identifiants en cas de perte d'appareil ou d'oublis de mot de passe).
Soit on prend le risque de perdre ses accès ou on rend la tache d'authentification bien plus complexe.

Perso j'ai choisis la méthode suivante: tous les sites ou je me fiche de la sécurité, j'utilise un passe aléatoire généré par Firefox et je lui laisse conserver les identifiants.
Les sites ou j'ai besoin d'une sécurité supplémentaire j'utilise la 2FA et un gestionnaire de passe LOCAL avec évidemment un chiffrement qui permet l'accès seulement grâce a un mot de passe maître.
Le hic dans l'histoire c'est qu'il ne faut surtout pas oublier le mot de passe maître. Et que le changer "régulièrement" peut devenir fastidieux.

Mais dans tous les cas la meilleure sécurité c'est d'éviter la centralisation et de changer régulièrement ses accès.
Même un gestionnaire de mot de passe peut être considéré comme une centralisation et est un risque potentiel.
Un accès malveillant à la machine et tout peut être compromis. Donc il faut une partition chiffrée, ce qui fait un mot de passe supplémentaire à connaître...

Bref, pas étonnant que les failles dans les entreprises soient plus souvent au niveau "de l'humain" que de la machine.
6  0 
Fagus
Avatar de Fagus
Membre expert https://www.developpez.com
Le 10/12/2022 à 13:22
Je pense au contraire que c'est un progrès relatif* pour l'utilisateur lamba.

D'après ce que je lis vite fait il semble s'agir d'une authentification basée sur un secret inviolable dans un appareil de confiance, qui est utilisé par cet appareil pour répondre à un défit cryptographique unique lors du login sur un site.
C'est à dire le système FIDO qu'on trouve not. dans les yubikey, ou maintenant sur les appareils apple avec leurs puces TPM qui peuvent stocker les secrets.

Sauf que dans cette histoire les secrets sont téléversés dans le cloud de google ..., contrairement aux clés yubikey où le principe est que tout est calculé dans la puce et que toute lecture de la puce est interdite.

C'est un compromis. Si on pert sa yubikey c'est fâcheux. Avec le système de google, si on perd son téléphone on survit, mais on confie à google tous ses accès...

Néanmoins, il faut se rendre compte que le citoyen lambda utilise 12345678 comme code et est susceptible de le donner à n'importe quel hameçonnage.

Bref, ça va se généraliser puisque Microsoft, Apple, Google, FIDO, etc veulent déployer ce système.
Ensuite, tout dépend de la capacité du système à résister à une extraction du secret si le système est corrompu. Pour ceux qui le stockent dans un TPM, ça doit être assez costaud (Apple...).

* Progrès relatif, car tout centraliser chez google c'est aussi un risque énorme. Il y a quelques années la youtubeuse Heliox racontait comment elle avait accidentellement exécuté dans un moment de fatigue un troyen sur son PC avec sa session google ouverte et c'était fini. Le pirate a désactivé sa double authentification dans sa session google ouverte (car google ne demande pas la double authentification pour désactiver cette dernière, ce qui est pratique... mais c'est une énorme faille logique). D'autant que voler un compte courriel central, c'est voler via les réinitialisations de compte tous les comptes liés en général...
Je n'ai pas d'intérêt chez proton, mais sur ce scénario, c'est mieux chez eux, car une fois qu'on a activé la double authentification, elle est obligatoire pour toute action de sécurité, ce qui bloque ce scénario de vol de compte.
4  0 
lemalo
Avatar de lemalo
Membre du Club https://www.developpez.com
Le 11/12/2022 à 16:04
Citation Envoyé par onilink_ Voir le message
Dès qu'il s'agit de centralisation de mots de passe c'est une ânerie.

C'est comme les gestionnaires de mots de passe qui stockent les mots de passe.... sur le cloud.
Car oui Jamy, c'est très logique!

Mais bon c'est un problème qui n'a pas de solution magique.
Soit on choisis la simplicité d'utilisation et on se retrouve plus ou moins forcé à utiliser un tiers de confiance ou une centralisation des moyens d'authentification (pour pouvoir retrouver ses identifiants en cas de perte d'appareil ou d'oublis de mot de passe).
Soit on prend le risque de perdre ses accès ou on rend la tache d'authentification bien plus complexe.

Une solution que j'utilise pour mitiger le risque du tiers de confiance c'est d'utiliser un mot de passe "double aveugle" pour mes comptes les plus critiques. En résumé ça consiste à ne pas enregistrer tout le mot de passe dans le gestionnaire de mots de passe.

Pour le détail, il y a une explication détaillée ici
4  0 
JPLAROCHE
Avatar de JPLAROCHE
Membre expérimenté https://www.developpez.com
Le 10/12/2022 à 11:44
le system KeypassXC fonctionne depuis longtemps avec un chiffrage 256 bytes ... et en local
2  0 
kain_tn
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 11/12/2022 à 23:54
Citation Envoyé par JPLAROCHE Voir le message
le system KeypassXC fonctionne depuis longtemps avec un chiffrage 256 bytes ... et en local
Tout est dit.

Citation Envoyé par Fagus Voir le message
[...]Pour ceux qui le stockent dans un TPM, ça doit être assez costaud (Apple...).[...]


Pas forcément. Il y avait un lien sur Developpez et sur Phoronix il y a quelques mois qui expliquait que des hackers avaient contourné le TPM d'un PC avec un accès sur la machine, sans soudure. Ils s'en étaient servi pour récupérer une clé Bitlocker, je crois.
2  0 
pmithrandir
Avatar de pmithrandir
Expert éminent https://www.developpez.com
Le 10/12/2022 à 11:15
J'avoue avoir du mal a voir l'avantage de cette solution.

Si je comprend bien on a une clef privé qui génère des clefs publiques utilisées pour autoriser nos accès.

Sauf que cette clef privé est bien stockée quelque part, device, cloud google, etc...
Qu'est ce qui empêche de prendre cette clef et de l'utiliser ailleurs
Comment tous nos devices vont ils pouvoir utiliser ce système (smartphone, iOS et Android, ordi sous Linux windows ... Mais aussi les systèmes tiers plus obscurs comme un rpi etc...)

J'ai du mal a comprendre la mise en oeuvre finale.
1  0 
Pierre Louis Chevalier
Avatar de Pierre Louis Chevalier
Expert éminent sénior https://www.developpez.com
Le 17/10/2022 à 16:39
C'est une bonne initiative, mais la majorité des gens n'y comprennent rien, et d'autre part très peu de sites le supportent.

Donc ça risque de prendre du temps avant que cela ait un impact, si cela en a un un jour.
1  1 
Commenter Signaler un problème