La mort du mot de passe Internet a été proclamée à plusieurs reprises, mais cette fois, elle pourrait en fait arriver plus tôt que vous ne le pensez. Son remplaçant ? Le passe-partout.

Selon Kathleen Moriarty, directrice de la technologie au Center for Internet Security, les clés d’accès sont la voie de l’avenir en matière de sécurité Internet de base, car elles sont intrinsèquement plus sûres et résistantes au phishing. En tant que grandes entreprises, y compris Pomme , Google et Microsoft travaillent avec les normes développées par l’Alliance FIDO et le World Wide Web Consortium – deux organisations qui créent des normes d’authentification par mot de passe – pour fournir un support pour les clés d’accès sur leurs plates-formes, la liste des organisations proposant des clés d’accès comme alternative aux mots de passe ne cesse de s’allonger.

“Les clés de sécurité sont un exemple de ce que la sécurité devrait être : transparentes et invisibles pour l’utilisateur final”, a déclaré Moriarty.

Comment fonctionnent les clés d’accès

L’utilisation d’un mot de passe permet à une personne d’accéder à un compte en approuvant la connexion sur un appareil externe, sans mot de passe requis.

Lorsqu’une personne se connecte à un compte avec un mot de passe, une invite, également appelée défi, est envoyée à un appareil supplémentaire appartenant à l’utilisateur, tel que son téléphone, qui lui permet d’approuver sa connexion en saisissant un type de code PIN ou en utilisant la biométrie. comme leur empreinte digitale ou un scan du visage. Une relation mathématique entre la clé publique sur le système auquel l’utilisateur se connecte et la clé privée sur l’appareil personnel de l’utilisateur permet au système de vérifier que la seule personne qui se connecte au compte est celle qui possède la clé privée.

Éviter les erreurs humaines et les pirates

Du point de vue de la sécurité, les clés d’accès sont beaucoup plus sécurisées que les mots de passe pour un certain nombre de raisons.

Ils fournissent une authentification individuelle pour chaque utilisateur à chaque application – chaque défi envoyé par le serveur est un nouveau défi, ce qui rend le cryptage différent à chaque fois. L’authentification mutuelle qui se produit lorsque le serveur authentifie l’utilisateur le rend moins sujet aux attaques de cybersécurité. L’accès à la clé est beaucoup plus difficile, car les pirates doivent accéder à la fois à la clé publique sur l’application ainsi qu’à la clé privée sur l’appareil de l’utilisateur pour pouvoir accéder à son compte.

Un problème majeur avec les mots de passe est que les humains ont tendance à utiliser des phrases identiques ou très similaires pour leurs mots de passe sur plusieurs plates-formes afin de les rendre plus faciles à mémoriser, et ils contiennent souvent des informations personnelles. Pire encore, le choix de mots de passe simples (pensez à « abc123 » ou « mot de passe ») crée la cible idéale pour que les pirates accèdent facilement aux comptes des individus. Cela signifie qu’un pirate peut être en mesure d’accéder à plusieurs comptes appartenant à un utilisateur en trouvant simplement son mot de passe pour un seul site Web ou une seule plate-forme.

Les clés de sécurité éliminent ce problème car elles suppriment la place pour les erreurs humaines qui peuvent devenir des problèmes de sécurité. Il n’y a pas de réutilisation des clés de passe, car chacune est unique pour chaque utilisateur individuel ainsi que pour l’application.

“Vous avez été prévenu dans le passé, n’utilisez pas de mots de passe entre différentes applications”, a déclaré Moriarty. “De par leur conception, les clés de sécurité empêchent toute réutilisation, de sorte que vous n’allez pas être exposé si votre clé pour une application est exposée pour une autre car elles sont complètement séparées.”

Il y a eu d’autres efforts pour avoir une meilleure sécurité autour des mots de passe même lorsque vous n’utilisez pas de clé d’accès, comme l’utilisation d’un gestionnaire de mots de passe qui garde en toute sécurité une trace des mots de passe et d’autres informations sensibles dans un navigateur ou une application distincte. Mais ces applications ne sont pas totalement à l’abri des failles de sécurité, comme le montre le piratage d’août 2022 de Dernier passagel’un des plus grands gestionnaires de mots de passe au monde.

Quoi qu’il en soit, les utilisateurs devraient prendre des mesures pour mieux sécuriser leurs mots de passe. Le volume d’attaques par mot de passe a grimpé à environ 921 attaques par seconde, soit une augmentation de 74 % en un an, selon le dernier rapport de Microsoft sur la défense numérique.

L’authentification résistante au phishing sera bientôt la norme

La plupart des principaux services d’exploitation autorisent désormais l’utilisation d’un mot de passe. La dernière mise à jour d’Apple, iOS 16 pour iPhone ainsi que macOS Ventura pour Mac, prend désormais en charge les clés de sécurité. Google a commencé à déployer la prise en charge des clés d’accès pour Chrome sur Android, Windows et macOS en décembre 2022.

D’ici la fin de 2024, le gouvernement fédéral devrait effectuer une transition complète vers des formes d’authentification résistantes au phishing.

“Les principaux systèmes d’exploitation bénéficient désormais d’un support complet là où il n’y avait qu’un support partiel (auparavant)”, a déclaré Moriarty. “Donc, ce revirement et cette pression pour la prise en charge des clés de passe sont assez rapides maintenant.”

Risques liés aux services Internet et aux appareils

Étant donné que les clés d’accès sont encore une forme relativement nouvelle de connexion à des comptes personnels, tous les services ne les prennent pas encore en charge, bien qu’elles deviennent une fonctionnalité plus courante.

Le seul inconvénient potentiel de l’utilisation de clés d’accès survient si un utilisateur perd l’appareil secondaire qu’il utilise pour accéder à ses comptes. Si cela se produit, le mot de passe doit être réinitialisé, mais il est également recommandé d’avoir un périphérique de sauvegarde à portée de main pour éviter que ce problème ne se produise.