Les Passkeys : De quoi est-il question ? Quels sont les avantages et les inconvénients ? Quid du comparatif avec la méthode d’authentification par mots de passe ?Microsoft to Transition Everyone to Passkeys
— Kaspersky (@kaspersky) December 19, 2024
In a new post titled "Convincing a Billion Users to Love Passkeys," Microsoft shares its experience and results from extensive A/B testing of integrating passkey technology into its main consumer services like Xbox, MS 365, and… pic.twitter.com/f5GbNHBGIr
Les Passkeys (littéralement « clés de sécurité ») sont une forme d'authentification des utilisateurs qui existe sous diverses formes depuis plus d'une décennie. Elles prennent généralement la forme de données biométriques stockées localement sur l'appareil de l'utilisateur et sont considérées comme l'une des méthodes d'authentification les plus résistantes aux menaces. De nombreuses entreprises de cybersécurité et experts en authentification considèrent également ces clés de sécurité comme une alternative viable aux noms d'utilisateur et aux mots de passe.
L'utilisation d'un mot de passe est la méthode la plus populaire pour accéder à un compte, que ce soit sur un ordinateur personnel ou une plateforme distante. Cela dit, cette méthode est confrontée à plusieurs enjeux, notamment la mémorisation, qui devient de plus en plus pertinente en raison de la multiplication du nombre de services nécessitant un mot de passe, et la compromission dont elle peut faire l'objet.
De nombreuses études montrent chaque année l'ampleur des violations de données liées à la compromission des mots de passe. Plusieurs facteurs sont à l'origine de ce problème, dont deux des plus connus sont la rétention, qui contraint parfois certains utilisateurs à partager leurs mots de passe avec leurs collègues, et l'utilisation du même mot de passe pour plusieurs comptes. Par exemple, selon une étude de la société de cybersécurité Yubico (inventeur de la clé de sécurité Yubikey) et l'institut Ponemon en 2019, 69 % des employés révèlent leurs mots de passe à leurs collègues.
Dans le cadre de l'édition 2020 de la journée du mot de passe, Balbix, fournisseur de système de sécurité pour aider les entreprises à transformer leur posture de cybersécurité et à réduire de manière quantifiable leur risque de violation, a publié un rapport sur l'état de l'utilisation des mots de passe. Le rapport montre que 99 % des utilisateurs réutilisent leur mot de passe sur près de trois comptes en raison du désir de commodité et de rapidité lors de la navigation sur les différents comptes. Le rapport de Balbix estime qu'en moyenne, chaque mot de passe d'utilisateur est partagé entre 2,7 comptes. Face à la situation, les grandes enseignes technologiques Google, Apple et Microsoft optent pour une approche sans mot de passe.
La mise à contribution des Passkeys comme alternative aux mots de passe soulève néanmoins un jeu de questions qui soulignent de potentiels inconvénients de l’approche :
- Quels sont les risques potentiels liés à l’utilisation des passkeys ? Par exemple, que se passe-t-il si l’appareil de l’utilisateur est perdu, volé ou endommagé ? Que se passe-t-il si la reconnaissance faciale ou l’empreinte digitale ne fonctionne pas correctement ou est compromise ?
- Quels sont les défis liés à l’adoption des passkeys, notamment pour les applications héritées qui ne fonctionnent qu’avec des mots de passe ?
- Quelles sont les alternatives aux passkeys proposées par d’autres acteurs du marché de la cybersécurité et comment peuvent-elles être interconnectées ? En clair, est-ce qu'une alternative aux passkeys me permettra par exemple de m'authentifier sur mon compte Google ou dois-je nécessairement passer par la solution de Google ?
Microsoft annonce une augmentation de 987 % de l’utilisation des Passkeys sur ses services
Microsoft révèle que sa dernière expérience d'ouverture de session a entraîné une baisse de 10 % de l'utilisation des mots de passe et une augmentation de 987 % de l'utilisation des passkeys. L'entreprise prévoit que, compte tenu de la nouvelle expérience d'ouverture de session, "des centaines de millions de nouveaux utilisateurs créeront et utiliseront des passkeys au cours des prochains mois". C’est de l’ordre du plausible lorsqu’on prend en compte que l’adoption des authentifications par Passkeys a connu une augmentation de 400 % en 2024.
Les perspectives d'un avenir sans mot de passe remontent à une décennie plus loin, en 2004, lorsque Bill Gates, cofondateur de Microsoft, a prédit la mort du mot de passe lors de la conférence RSA Security. À l'époque, il s'agissait d'un vœu pieux - les problèmes liés aux mots de passe entraînaient des failles de sécurité, comme c'est encore le cas aujourd'hui -, mais il semble aujourd'hui que cette éventualité soit envisageable.
La Fast Identity Online Alliance (FIDO) poursuit le même objectif depuis 2013. Avec la publication de la norme d'authentification WebAuthn et le développement du projet FIDO2, les géants de la technologie Apple, Google et Microsoft ont obtenu un moyen commun de mettre en œuvre les Passkeys. Le train est en marche.
Source : Microsoft
Et vous ?
Que pensez-vous des alternatives aux mots de passe comme Windows Hello, Microsoft Authenticator, la clé de sécurité ou le code de vérification envoyé à votre téléphone ou par e-mail ?
Êtes-vous tenté d'essayer l'une d'elles (ou plusieurs) ? Dans quelle mesure ?
Si vous en avez déjà essayé au moins une, qu'en avez-vous pensé ?
Que pensez-vous des Passkeys de Google ? Le nouveau cheval de Troie de Google ?
Des retombées sur des outils comme les gestionnaires de mots de passe si ces alternatives venaient à être adoptées massivement par internet et les internautes ?
Voir aussi :
Google déploie Passkey, une nouvelle option d'authentification marquant un pas vers un avenir sans mot de passe. Mais l'entreprise se garde bien d'en préciser les limites
PayPal lance les Passkeys, conçus pour remplacer les mots de passe permettant une connexion facile et sécurisée pour les consommateurs
Il est désormais possible de se passer des mots de passe dans Chrome avec passkeys, ils sont désormais disponibles dans Chrome Stable M108
Les "passkeys" d'Apple pourraient enfin mettre un terme aux mots de passe pour de bon, Apple a fait la démonstration de sa nouvelle norme de connexion biométrique à l'occasion de la WWDC