Passkeys : comment ça marche ?
C'est en faisant le constat que la grande majorité des mots de passe de leurs utilisateurs étaient un peu trop simplistes que les géants des logiciels et appareils électroniques tels qu'Apple, Microsoft ou Google ont décidé de commencer à démocratiser les "passkeys".
Car si les gestionnaires de mot de passe s'avèrent bien pratiques pour vous éviter de devoir retenir quel est le mot de passe associé à un site spécifique, dès que vous en changez... Vous vous emmêlez les pinceaux, et votre gestionnaire aussi.
Mais les "passkeys", qu'est-ce que c'est, au juste ?
Pour éviter d'avoir affaire à des mots de passe trop légers ou à des gestionnaires de mots de passe non mis à jour, nous allons petit à petit pouvoir utiliser des clés d'identification.
Un passkey, c'est une clé d'identification, qui vous permet de vous connecter en validant votre identité, grâce à la biométrie (empreinte digitale, reconnaissance faciale sur les appareils Apple), un code PIN, ou un schéma (pour les mobiles Android).
Comment fonctionnent les "passkeys" ?
Au moment où vous vous inscrirez sur le site ou l'application utilisant un passkey, vous devrez le faire via un appareil qui vous appartient (que ce soit un mobile, un ordinateur ou une tablette). Votre appareil va ensuite créer 2 clés cryptées, spécifiques pour chaque site ou application.
Vous aurez sur votre trousseau deux clés : une vous appartenant, enregistrée sur l'appareil utilisé pour vous inscrire, et une appartenant au site sur lequel vous vous êtes inscrit, qui va donc entrer votre appareil dans sa base de données.
A chaque nouvelle tentative de connexion (si vous vous êtes déconnecté entre-temps), le site ou l'application va s'assurer qu'il s'agit bien d'un smartphone ou d'un ordinateur identifié dans sa base de données. S'il reconnaît votre appareil, il va ensuite vous envoyer une demande d'approbation directement dessus, en vous demandant de vous authentifier, à l'aide de votre empreinte digitale, visage, code Pin ou schéma.
En quoi est-ce utile ?
Si, sur le papier, cela vous parait un peu compliqué à comprendre, le fonctionnement des "passkeys" est en réalité très simple pour les utilisateurs, car cela vous permet de vous affranchir de la corvée des mots de passe. C'est en effet le système d'exploitation de votre téléphone ou ordinateur et celui du site en question qui s'occupe de tout ça.
De plus, cela rend le piratage et l'accès à vos données personnelles bien plus compliqué, car il faut avoir en main l'appareil en question mais également la méthode de validation spécifique à chaque outil pour pouvoir accéder à votre compte.
Le phishing par création de faux sites est également bien plus difficile, vu que chaque clé est liée à une URL précise.
Et si j'utilise plusieurs appareils ?
Bien sûr, vous pouvez visiter la même plateforme autant via votre tablette, que votre téléphone, que votre smartphone. Les "passkeys" ont bien intégré cette donnée, et sont synchronisés avec un seul compte. C'est le cas chez Apple, par exemple, où vous avez un trousseau iCloud commun à tous vos appareils de la marque. Google et Microsoft déploient actuellement la même possibilité pour faciliter la vie de leurs clients.
Au cas où vos appareils ne seraient pas tous de la même marque, vous pourrez aussi utiliser un "passkey", en utilisant un QR Code par exemple.
Où est-ce disponible ?
Les "passkeys" commencent à se démocratiser. Ils commencent à être disponibles de manière systématique sur les téléphones et ordinateurs les plus récents.
De plus en plus de sites et plateformes vous proposeront de ne plus utiliser de mots de passe, mais plutôt des clés d'identification. Il faut un peu de temps avant que tout cela se démocratise totalement... Mais c'est en bonne voie !
publié le 28 février à 12h56,