IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Google veut rendre les mots de passe obsolètes en faisant des "passkeys" l'option par défaut

Le , par Nancy Rey

17PARTAGES

6  0 
Google cherche à rendre les mots de passe obsolètes en invitant les utilisateurs à créer des codes d'accès pour déverrouiller leurs comptes et appareils à l'aide d'une empreinte digitale, d'un scan du visage ou d'un numéro d'identification personnel. Google a déclaré que les passcodes de sont plus faciles à mémoriser, plus rapides à utiliser et offrent plus de sécurité. L'entreprise a dévoilé la prise en charge des passkeys en mai, mais a annoncé dans un billet de blog que la technologie deviendrait désormais l'option de choix lors de la création d'un mot de passe.


Une clé d'accès ou passkey est un identifiant numérique utilisé comme méthode d'authentification pour un site Web ou une application.En début d'année, Google a mis en place la prise en charge des passkeys, un moyen plus simple et plus sûr de se connecter à ses comptes en ligne. La firme a reçu des commentaires très positifs de la part des utilisateurs. C'est pourquoi Google rend aujourd'hui les mots de passe encore plus accessibles en les proposant comme option par défaut dans les comptes Google personnels.

La prochaine fois que vous vous connecterez à votre compte, vous serez invité à créer et à utiliser un mot de passe, ce qui simplifiera vos connexions ultérieures. Cela signifie également que l'option "Ignorer le mot de passe lorsque c'est possible" sera activée dans les paramètres de votre compte Google.

Pour utiliser les passkeys, il vous suffit d'utiliser une empreinte digitale, un scan du visage ou un code PIN pour déverrouiller votre appareil. Ils sont 40 % plus rapides que les mots de passe et reposent sur un type de chiffrement qui les rend plus sûrs. Bien qu'il s'agisse d'un grand pas en avant, nous savons que les nouvelles technologies mettent du temps à s'imposer, si bien que les mots de passe risquent de perdurer encore un peu. C'est pourquoi les utilisateurs auront toujours la possibilité d'utiliser un mot de passe pour s'identifier et pourront choisir de ne pas utiliser les mots de passe en désactivant l'option "Ignorer le mot de passe lorsque c'est possible".

Google a constaté que l'un des avantages les plus immédiats des passkeys est qu'ils évitent aux utilisateurs d'avoir à se souvenir de tous les chiffres et caractères spéciaux des mots de passe. Ils sont également résistants au phising.

Les passkeys dans plus d'endroits

Depuis leur lancement en début d'année, les utilisateurs ont utilisé les passkeys dans leurs applications favorites telles que YouTube, Search et Maps, et Goole se dit être encouragés par les résultats. Google est d'autant plus ravis de constater que les passkeys sont de plus en plus adoptés dans les différents secteurs d'activité. Récemment, Uber et eBay ont activé les passkeys - donnant aux utilisateurs la possibilité d'abandonner leur mot de passe lorsqu'ils s'identifient sur leurs plateformes - et la compatibilité avec WhatsApp sera également bientôt assurée.

La voie à suivre sans mot de passe

Goole promet tenir au courant des autres possibilités d'utilisation des passkeys sur d'autres comptes en ligne. En attendant, les utilisateurs sont encouragés à adopter les codes d'accès, ce qui rendra les mots de passe rares et, à terme, obsolètes.

Source : Google

Et vous ?

Que pensez-vous des alternatives aux mots de passe ?
Êtes-vous tenté d'essayer l'une d'elles (ou plusieurs) ? Dans quelle mesure ?
Si vous en avez déjà essayé au moins une, qu'en avez-vous pensé ?
Que pensez-vous des Passkeys de Google ?
Des retombées sur des outils comme les gestionnaires de mots de passe si ces alternatives venaient à être adoptées massivement par internet et les internautes ?

Voir aussi :

Google déploie Passkey, une nouvelle option d'authentification marquant un pas vers un avenir sans mot de passe. Mais l'entreprise se garde bien d'en préciser les limites

PayPal lance les Passkeys, conçus pour remplacer les mots de passe permettant une connexion facile et sécurisée pour les consommateurs

Il est désormais possible de se passer des mots de passe dans Chrome avec passkeys, ils sont désormais disponibles dans Chrome Stable M108

Les "passkeys" d'Apple pourraient enfin mettre un terme aux mots de passe pour de bon, Apple a fait la démonstration de sa nouvelle norme de connexion biométrique à l'occasion de la WWDC

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 11/10/2023 à 20:32
Citation Envoyé par JPLAROCHE Voir le message
Bref, je n'ai pas de wifi et je n'en veux pas, je ne me sers pas du téléphone comme un ordi (pas de code PIN) . Chaque chose à sa place? Je n'ai pas de caméra ? si vous me proposez un dongle avec mon empreinte cela n'est pas la garantie que c'est moi, il y a multiple façon avec les empreintes ...... alors, on va faire comment… certainement comme pour vendre sa voiture , si vous avez une voiture achetée avant 2017 vous ne pouvez pas accéder au site pour signaler la vente de votre voiture puisque vous n'avez pas reçu votre code qu'il faut garder précieusement dans un coffre, car il vous permet de faire les démarches administratives et le demande .... encore un truc bien pensé, et je vois les personnes âgées paniquées à mort... bref à tout informatisé pour supprimer le personnel ont fini par aller droit dans le mur.

Un bon logiciel, tel KeepassC protège votre mon de passe et c'est gratuit .

Dommage, étant un informaticien de la première heure, j'eusse pensé que cela apporterait un soulagement et non pas des aberrations…
Surtout que Google a perdu pas mal de crédibilité au niveau de la sécurité quand ils ont annoncé il y quelques mois que leur application de gestion des tokens les synchronisait (donc clés privées) sur leur Cloud et que ça n'impactait pas la sécurité...

Ils sont très mal placés pour donner des leçons, et puis en plus, la biométrie et une GAFAM, ça fait encore plus de données privées...

Google cherche à rendre les mots de passe obsolètes en invitant les utilisateurs à créer des codes d'accès pour déverrouiller leurs comptes et appareils à l'aide d'une empreinte digitale, d'un scan du visage ou d'un numéro d'identification personnel.
C'est une des tentatives les plus grosses pour essayer de piquer encore plus de données à leurs utilisateurs. Bref.
4  0 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 11/10/2023 à 22:55
microsoft et google voulant la fin du mot de passe, qui pour autant est l'option la plus securisé que l'on ai pour deverouiller nos devices...
3  0 
Avatar de JPLAROCHE
Membre expérimenté https://www.developpez.com
Le 11/10/2023 à 20:23
Citation Envoyé par Nancy Rey Voir le message
Google envisage de supprimer les mots de passe en faisant des "passkeys" l'option par défaut
Bref, je n'ai pas de wifi et je n'en veux pas, je ne me sers pas du téléphone comme un ordi (pas de code PIN) . Chaque chose à sa place? Je n'ai pas de caméra ? si vous me proposez un dongle avec mon empreinte cela n'est pas la garantie que c'est moi, il y a multiple façon avec les empreintes ...... alors, on va faire comment… certainement comme pour vendre sa voiture , si vous avez une voiture achetée avant 2017 vous ne pouvez pas accéder au site pour signaler la vente de votre voiture puisque vous n'avez pas reçu votre code qu'il faut garder précieusement dans un coffre, car il vous permet de faire les démarches administratives et le demande .... encore un truc bien pensé, et je vois les personnes âgées paniquées à mort... bref à tout informatisé pour supprimer le personnel ont fini par aller droit dans le mur.

Un bon logiciel, tel KeepassC protège votre mon de passe et c'est gratuit .

Dommage, étant un informaticien de la première heure, j'eusse pensé que cela apporterait un soulagement et non pas des aberrations…
1  1 
Avatar de Fagus
Membre expert https://www.developpez.com
Le 12/10/2023 à 11:52
Citation Envoyé par Aiekick Voir le message
microsoft et google voulant la fin du mot de passe, qui pour autant est l'option la plus securisé que l'on ai pour deverouiller nos devices...
C'est sans doute vrai pour déverrouiller un appareil, mais c'est faux pour un site web ou une authentification à distance.

Dès que c'est à distance, il y a un risque :
  • De vol des couples id/pass sur le serveur distant s'il est compromis
  • De vol des couples id/pass sur le client s'il est compromis
  • De vol des couples id/pass par fishing (pas seulement fishing moche par Google <w54867@liberiamail.xxx>, mais aussi le fishing parfait avec un site identique à l'original avec votre vrai nom et quelques infos perso pour mettre en confiance)


Dans ma boîte, tous les ans ils font une tentative de fishing interne (assez quelconque, même pas personnalisée, somme toute assez similaire à tous les fishing réels qu'on reçoit régulièrement), et à chaque fois il y a quelque chose comme 5 à 10% des gens qui donnent volontairement leurs identifiants. C'est quand même la preuve que c'est insécurisable...

Comment savoir qu'on est sur le bon site ? En vrai c'est impossible. Il faudrait vérifier l'url (avec tous les typosquattages possibles) et le certificat, sachant que de temps en temps des clés des autorités de certification sont volées, et que de toutes façons, les plus grosses sociétés passent leur temps à changer leurs url et leurs certificats sans jamais rien communiquer.

Avec l'authentification sans mot de passe à la sauce FIDO, le site web envoie un défi par clé publique et le client y répond en utilisant sa clé privée. À chaque fois, on est cryptographiquement sûr de savoir qui est qui.

Alors, ensuite arrivent les détails. Comment gérer des couples de clés cryptographiques ? Idéalement, elles sont stockées dans des TPM "inviolables" (y'en a dans les PC et les téléphones, faut bien que ça serve à quelque chose )...
J'ai pas trop vu le détail du schéma de google, mais je suppose qu'ils se proposent "bien aimablement" de sauvegarder tous les identifiants bien au chaud sur leurs serveurs et de ne jamais les divulguer à qui leur demanderait... Forcément, si c'était juste dans le téléphone, la perte du téléphone sans sauvegarde, c'est la fin du monde (si vous m'avez lu jusqu'ici, vous aurez compris que Me Michu ne va pas lire la doc du protocole de sauvegarde des clés cryptographiques).

Sinon, on peut s'acheter un token cryptographique (yubikey... ; on peut en fabriquer un aussi un pas très sécurisé mais très économique avec un raspberry pico). On reste propriétaire de ses clés, et propriétaire de la procédure de backup.
0  0 
Avatar de weed
Membre chevronné https://www.developpez.com
Le 20/12/2024 à 9:46
Citation Envoyé par Patrick Ruiz Voir le message
Que pensez-vous des alternatives aux mots de passe comme Windows Hello, Microsoft Authenticator, la clé de sécurité ou le code de vérification envoyé à votre téléphone ou par e-mail ?
Ce serait une mauvaise idée de passer par Microsoft Authenticator. Mieux vaut ne pas mettre tous ses oeufs dans le même panier. Je viens de voir par exemple que le gestionnaire de mot de passe libre supporte les passkey kepassxc :
https://goodtech.info/keepassxc-nouveautes/

Citation Envoyé par Patrick Ruiz Voir le message
Que pensez-vous des Passkeys de Google ? Le nouveau cheval de Troie de Google ?
Pas top en effet. On donne sufisamment d'info à Google, ce n'est en effet pas une bonne idée. On ne sait pas ce qu'il peut se passe.

Citation Envoyé par Patrick Ruiz Voir le message
Des retombées sur des outils comme les gestionnaires de mots de passe si ces alternatives venaient à être adoptées massivement par internet et les internautes ?
Pourquoi pas. Après il reste toujours les certificats client SSL
0  0 
Avatar de DespairPaprika
Futur Membre du Club https://www.developpez.com
Le 22/12/2024 à 12:54
Je suis étonnée de la brièveté avec laquelle les gestionnaires de mots de passe sont mentionnés. En effet, ils résolvent le problème de rétention, permettant un mot de passe fort et unique par site/service, et ils sont résistants à la perte d'un appareil à condition d'avoir mis en place la synchronisation. Plusieurs d'entre eux sont indépendants des géants du web, open-source et audités (notamment KeePass et Bitwarden). Ajoutez à ça la praticité de l'autocomplétion (au cas où elle ne fonctionne pas, ne générez quand même pas des mdp interminables)

En pratique, j'ajoute à ça l'authentification à deux facteurs TOTP, pour une authentification forte. Certains internautes n'ont pas confiance en Microsoft et Google, alors des indépendants existent (Aegis...). Là aussi il faut faire des sauvegardes, je déconseille de synchroniser sur un serveur car ça annulerait l'intérêt de cette méthode - requérir une de vos possessions pour vous authentifier.

Voilà, comme ça on a une authentification forte, sans passer par les GAFAM, et sans utiliser de biométrie 👍
0  0