Le début de la fin des mots de passe

La grande extinction des mots de passe est déjà en cours

Imaginez un monde sans mots de passe.

Vous pouvez toujours vous connecter à tous vos comptes en ligne dans ce nouveau monde sans mot de passe. Des sites WordPress à votre banque, il est plus facile et plus sécurisé que jamais de créer et d'accéder à des comptes en ligne, sans mot de passe.

Ne serait-ce pas un soulagement ? Bonne nouvelle : l'extinction mondiale des mots de passe est déjà en cours, et la vie de l'autre côté est meilleure.

Fin 2022, Apple a introduit la prise en charge des clés de passe pour iOS 16 et MacOS 13 « Ventura ».

Hier, Google a annoncé qu'il "déployait la prise en charge des clés d'accès sur les comptes Google sur toutes les principales plates-formes".

Chez iThemes, nous sommes très fiers que notre produit Security Pro ait été le premier à apporter des clés d'accès et d'autres méthodes d'authentification sans mot de passe à WordPress.

Comment une vie sans mot de passe est-elle possible ?

Environ un mois après avoir commencé à utiliser une Apple Watch, elle a commencé à se déverrouiller et à se connecter automatiquement à mes ordinateurs de bureau et portables exécutant la version actuelle de MacOS. Je ne me souviens pas avoir fait plus que d'activer la prise en charge du mot de passe MacOS pour l'utiliser avec mes comptes Google et iThemes Security. Apparemment, cela a également permis à ma montre de devenir un dispositif de passe-partout de confiance.

Auparavant, la connexion biométrique Apple Touch était l'alternative de mot de passe la plus accessible que j'avais. Maintenant c'est ma montre. Parfois, si j'ai été absent assez longtemps, j'ai encore besoin de taper mon mot de passe, mais ma montre rend cela beaucoup moins courant, grâce à un mot de passe commun connecté à mon identifiant Apple et à tous mes appareils Apple.

Les clés matérielles, comme la YubiKey, vous offriront la même expérience de connexion sans mot de passe - aucun appareil Apple n'est nécessaire.

Les appareils Windows et Android prennent en charge les connexions sans mot de passe, également grâce aux clés de sécurité.

Que sont les clés d'accès ?

Vous pouvez remercier l'open source pour les clés d'accès. La technologie Passkey est basée sur des normes ouvertes définies par l'alliance FIDO (« Fast Identity Online »). Développée par le W3C, l'API WebAuthn fait partie de la norme FIDO2. C'est WebAuthn qui permet aux mots de passe d'effectuer rapidement et facilement une authentification multiplateforme sans mot de passe.

Les clés d'accès sont des identifiants numériques uniques et cryptés générés par un dispositif d'authentification, comme votre smartphone. La cryptographie à clé publique est utilisée pour créer une paire de clés publique et privée. Ensemble, cette paire de clés forme votre mot de passe sur l'appareil d'authentification. Chacun de vos appareils peut avoir une clé privée unique, mais votre clé publique est partagée sur le Web. Probablement, vous ne verrez jamais ni l'un ni l'autre. Personne ne va.

Votre téléphone ou tout autre appareil prenant en charge les clés d'accès vous vérifie en tant qu'utilisateur autorisé lorsque vous entrez un mot de passe, un code PIN ou que vous réussissez un défi biométrique. Une fois que vous avez fait cela, votre téléphone et sa clé d'accès fonctionnent comme une clé pour des appareils et des applications supplémentaires. Au lieu d'avoir à saisir à nouveau un mot de passe sur votre ordinateur portable et à nouveau pour vous connecter à WordPress, votre téléphone demande à votre ordinateur de vous laisser entrer. Ensuite, son système d'exploitation demande à votre navigateur de demander à WordPress de vous laisser entrer, le tout sans mot de passe.

Si vos appareils et sites Web sont configurés pour les clés d'accès, l'expérience est très fluide. Vous devrez peut-être fournir un code PIN ou réussir un défi biométrique rapide, mais c'est beaucoup plus simple que de remplir trois formulaires de connexion différents sans recycler vos mots de passe ou en utiliser de faibles. Et si vous détestez l'authentification à deux facteurs (2FA), vous n'avez plus besoin de l'utiliser. ¹

Pourquoi les clés de passe remplaceront les mots de passe

Initialement, les clés d'accès apparaissent comme une option d'authentification aux côtés des mots de passe et de 2FA. Vous pouvez utiliser n'importe lequel d'entre eux. Mais au fil du temps, peu de gens voudront conserver des mots de passe non sécurisés ou gérer des codes 2FA chronophages. Les clés d'accès deviendront rapidement l'option préférée pour les raisons suivantes :

1. Sécurité renforcée. L'une des principales raisons pour lesquelles les clés d'accès remplaceront les mots de passe est la sécurité améliorée qu'elles offrent. De nombreuses violations de données résultent de mots de passe faibles ou volés, soulignant la vulnérabilité de l'authentification traditionnelle par mot de passe. La cryptographie à clé publique derrière les clés de sécurité est beaucoup plus difficile à déchiffrer.

2. Meilleure expérience utilisateur. Se souvenir de nombreux mots de passe complexes pour vos comptes en ligne peut être difficile et conduit souvent à de mauvaises pratiques de mot de passe. Les clés de sécurité simplifient le processus d'authentification. Vous n'avez besoin que d'un appareil qui stocke votre mot de passe pour accéder à tout compte prenant en charge l'authentification par mot de passe. Cette expérience utilisateur pratique encourage l'adoption de clés de sécurité comme méthode d'authentification sécurisée.

3. Gestionnaires de mots de passe Facultatif. Les clés d'accès peuvent réduire, voire éliminer, le besoin de gestionnaires de mots de passe traditionnels. Bien que les gestionnaires de mots de passe offrent une alternative au stockage de plusieurs mots de passe, ils introduisent également des risques supplémentaires. Ces coffres-forts de mots de passe peuvent devenir un point de défaillance unique. Comme nous l'avons vu avec LastPass, une plate-forme de gestion des mots de passe piratés peut exposer tous ses comptes clients, mots de passe et informations personnelles.

L'avenir sans mot de passe : à quoi il ressemblera

Il y a trois grands avantages à l'éclipse des mots de passe par les mots de passe, mais leur fil conducteur est la façon dont les mots de passe bénéficient à la fois de la sécurité et de la simplicité.

Les avantages

1. Authentification transparente. À mesure que les clés d'accès deviennent plus courantes, le processus d'authentification et d'accès aux services en ligne deviendra de plus en plus transparent. Les utilisateurs pourront se connecter à leurs comptes en utilisant simplement leurs dispositifs de stockage de clé d'accès ou des méthodes d'identification biométrique, telles que les empreintes digitales ou la reconnaissance faciale.

2. L'authentification multifacteur simplifiée. Les clés de sécurité prennent en charge de manière inhérente l'authentification multifacteur (MFA) en combinant quelque chose que l'utilisateur connaît (la clé de sécurité) avec quelque chose que l'utilisateur possède (l'appareil stockant la clé de sécurité). Cette intégration transparente de MFA dans le processus d'authentification conduira à un environnement en ligne plus sécurisé sans sacrifier l'expérience utilisateur.

3. Réduction des violations de données. Alors que les clés de passe deviennent la nouvelle norme d'authentification, le nombre de violations de données résultant de mots de passe faibles ou volés est susceptible de diminuer. La sécurité renforcée fournie par les clés d'accès rendra plus difficile pour les cybercriminels de compromettre les comptes d'utilisateurs, ce qui conduira à un paysage numérique plus sécurisé.

Jusqu'à présent, il était rare que l'authentification sécurisée s'accompagne d'une bonne expérience utilisateur. Les clés de sécurité sont une grande exception. C'est fantastique, mais il y a toujours des inconvénients.

Les inconvénients

1. Hameçonnage sophistiqué et piratage social. Les clés d'accès peuvent être presque impossibles à voler et à cracker, mais les criminels n'abandonnent jamais lorsque la sécurité augmente - ils s'adaptent aux nouveaux outils et trouvent des points faibles négligés à exploiter. Aujourd'hui, les outils d'intelligence artificielle permettent à quiconque de paraître couramment dans n'importe quelle langue, ce qui est un atout considérable pour quiconque souhaite inciter les autres à leur faire confiance. Les grandes violations de mot de passe peuvent disparaître dans le passé, mais le phishing et le piratage social peuvent devenir plus sophistiqués et répandus.

2. Sécurité physique et confidentialité. Mes appareils Apple sont incapables de dire que ce n'est pas moi lorsque ma fille gauchère porte ma montre sur son petit poignet de l'autre main. Tout ce dont elle a besoin, c'est de ma montre et d'un code PIN à 4 chiffres pour se connecter à mon ordinateur. ² Un voleur pourrait faire cela, la police aussi. ³ À mesure que nos relations avec nos appareils s'enchevêtrent physiquement, de nombreuses questions difficiles sur la vie privée se posent. ⁴ L'anonymat en ligne, qui est déjà en déclin, pourrait disparaître.

3. Les gens partageront aussi les clés d'accès. Les gestionnaires de mots de passe sont largement utilisés pour partager des mots de passe, ce qui est une pratique de sécurité terrible, quelle que soit la manière dont elle est effectuée. Un mot de passe partagé deviendra éventuellement un mot de passe volé. Heureusement, il est peu probable que vous voyiez, et encore moins mémorisiez, écriviez ou envoyiez par e-mail un mot de passe à un collègue ou à un ami. Cependant, vous pouvez utiliser certains gestionnaires de mots de passe pour stocker et même partager des clés de passe maintenant. Il existe des moyens sûrs de le faire, mais je doute que cela fonctionne dans la pratique. Quelle que soit la manière dont vous le faites, le partage de secrets est intrinsèquement peu sûr. (Un secret partagé n'est plus un secret.) Le partage de données ou d'informations sensibles repose fortement sur la confiance entre les personnes, et c'est toujours un lien faible - voir les points n°1 et n°2 ci-dessus.

Pensée de sécurité versus "Ne me faites pas réfléchir"

Quels que soient les défis qui nous attendent dans un avenir sans mot de passe, nous y allons. Les mots de passe sont cassés - ils sont une méthode d'authentification terrible et doivent disparaître - le plus tôt sera le mieux. Adopter l'authentification sans mot de passe améliorera nos expériences en ligne et contribuera à protéger nos vies numériques. Ne pas avoir à se soucier autant de la sécurité et de la gestion des mots de passe est un énorme soulagement.

D'un autre côté, "Ne me faites pas réfléchir" est un excellent objectif en matière d'expérience utilisateur et de conception d'interface, mais peut être un désastre pour la sécurité. La simplicité de conception permet l'efficacité des utilisateurs et leur impose une charge cognitive moindre. Les clés d'accès offrent cette simplicité exceptionnellement bien. Mais ils ne devraient pas nous rendre plus complaisants face aux risques de sécurité potentiels dans un monde de menaces en constante évolution.

Propulsé par les clés de sécurité et leur adoption sur toutes les principales plates-formes, l'avenir du Web sera une expérience plus sécurisée et conviviale lorsque nous accédons à des services en ligne. Les jours où il était difficile de se souvenir de mots de passe complexes (et de les partager ou de les recycler) appartiendront bientôt au passé, et c'est une nette amélioration.

Il est grand temps d'élever également nos normes de sécurité de base. Les clés d'accès le feront, et je m'attends à ce que cela contribue à rendre la cybercriminalité, la fraude et le vol d'identité plus difficiles et plus rares. Commencez à les utiliser dès maintenant, et si vous avez des sites WordPress, envisagez de faire des clés de passe une option pour vous y connecter. Pensez aussi à la sécurité. Demandez ce que signifie la sécurité et comment les menaces peuvent changer dans le nouveau contexte d'un monde sans mots de passe.

Remarques:

1. Des rapports tels que "Je me suis enfermé hors de ma vie numérique" et "Gmail 2FA fait perdre définitivement l'accès aux sans-abri trois fois par an" montrent les inconvénients de l'authentification à deux facteurs.
2. Une Apple Watch n'est peut-être pas la meilleure clé de sécurité sans une authentification biométrique, comme Touch ID. Basé sur certains des brevets récents d'Apple, une version basée sur la paume de Touch ID pourrait être en préparation.
3. L'Electronic Frontier Foundation s'est dite préoccupée par d'éventuelles violations des droits civils si les forces de l'ordre utilisaient un accès par clé d'accès à un appareil pour rechercher de nombreux autres appareils et comptes en ligne.
4. L'identification de signatures biométriques uniques à partir de données biologiques collectées par des montres et des dispositifs similaires peut également être possible car elles peuvent détecter l'apparition précoce de maladies comme le COVID.

Dan Knauss

Dan Knauss est le généraliste du contenu technique de StellarWP. Il est écrivain, enseignant et pigiste travaillant en open source depuis la fin des années 1990 et avec WordPress depuis 2004.