SEprivatesignatureexample.comverified ✓phishing-proof by design

Mots-clés

11 lecture min.Sécurité

Les clés d’accès sont ce qui se rapproche le plus d’un véritable successeur des mots de passe. Ils vous authentifient avec la cryptographie au lieu d'un secret partagé, ils sont synchronisés sur vos appareils via le trousseau de votre système d'exploitation et sont de par leur conception protégés contre le phishing. Tous les principaux systèmes d'exploitation, navigateurs et fournisseurs d'identité proposent désormais une prise en charge des clés d'accès.

Le corps complet de l’article est fourni en anglais ci-dessous.

A passkey est un identifiant FIDO2 : une paire de clés cryptographiques créée et stockée par le système d'exploitation de votre appareil, utilisée pour vous authentifier sur un site Web ou une application sans saisir de mot de passe. Le navigateur prouve la possession de la clé privée en signant un challenge du site ; le site vérifie avec la clé publique enregistrée. Pas de mots de passe, pas de codes, pas de friction au-delà d'une invite d'empreinte digitale ou de Face ID.

Quels mots de passe remplacent

Le flux de connexion traditionnel comporte trois problèmes à plusieurs niveaux :

  • Les mots de passe sont devinables. Les plus courants sont les mots du dictionnaire et les modèles simples. Les attaques de bourrage d'informations d'identification recyclent les bases de données de mots de passe divulguées sur chaque site. Les mots de passe
  • sont réutilisables. Les utilisateurs les réutilisent dans tous les services, de sorte qu'une violation compromet de nombreux comptes.
  • 2FA est boulonné. à l'épreuve du phishing — et les clés matérielles sont trop exigeantes pour les utilisateurs occasionnels. (norme W3C) côté navigateur et CTAP2 (Client to Authenticator Protocol) lorsqu'un périphérique distinct comme une clé matérielle est impliqué. Ensemble, ils implémentent le framework FIDO2.

    Lorsque vous enregistrez une clé d'accès sur example.com :

    1. Le site demande à votre navigateur de créer un identifiant.
    2. Le système d'exploitation génère une paire de clés ECC (généralement sur Secure Enclave / TPM / TitanM2).
    3. Le système d'exploitation associe la clé publique à example.com et un identifiant d'identification.
    4. Le navigateur envoie la clé publique au site, qui la stocke dans votre enregistrement de compte.
    5. Le clé privée ne quitte jamais le stockage sécurisé de votre appareil.

    Lorsque vous vous connecterez la prochaine fois :

    1. Le site envoie un challenge.
    2. Le navigateur demande au système d'exploitation de signer le défi avec votre clé privée example.com.
    3. Le système d'exploitation vous invite à autoriser — Touch ID, Face ID, Windows Hello ou un code PIN.
    4. Le défi signé retourne au site, qui vérifie par rapport à la clé publique qu'il a stockée.
    5. Vous êtes connecté in.

    Pourquoi les clés d'accès sont résistantes au phishing

    Le navigateur lie la signature au domaine réel (origine) visité par l'utilisateur. Si vous êtes sur le vrai example.com, la signature est pour example.com. Si vous êtes trompé sur evil-example.com, le navigateur produit une signature pour evil-example.com, que le vrai example.com n'acceptera pas. L'attaquant ne peut pas intercepter et rejouer les informations d'identification - il n'y a pas de secret rejouable comme un mot de passe ou un code TOTP à capturer. clé d'accès :

    • Clés d'accès synchronisés. Stockés dans le trousseau du système d'exploitation (iCloud Trousseau, Google Password Manager, 1Password, Bitwarden) et synchronisés sur vos appareils. Vous pouvez vous connecter depuis votre ordinateur portable à l'aide d'un mot de passe créé sur votre téléphone. Le plus convivial.
    • Clés d'accès liées aux appareils. Restez sur un appareil, généralement une clé matérielle. Des garanties de sécurité plus élevées (ne peuvent pas être exfiltrées même si votre compte iCloud est compromis) au prix d'avoir besoin de l'appareil physique à chaque fois. Les cas d'utilisation en entreprise et de haute sécurité les préfèrent.

    Connexion multi-appareils

    Vous pouvez vous connecter sur un appareil qui ne dispose pas de votre clé d'accès en utilisant une clé d'accès sur un appareil à proximité. Le flux standard : l'ordinateur portable affiche un code QR, vous le scannez avec votre téléphone, votre téléphone s'authentifie avec le mot de passe et envoie l'assertion à l'ordinateur portable via le contrôle de proximité Bluetooth. Rapide, ne nécessite pas que le téléphone soit sur le même réseau Wi-Fi, empêche les attaques à longue distance car Bluetooth prouve la proximité physique.ul>

  • Apple, Google et Microsoft ont intégré la prise en charge des clés d'accès dans leurs trousseaux de système d'exploitation depuis 2022-2023.
  • 1Password, Bitwarden et Dashlane ont ajouté la synchronisation des clés d'accès entre systèmes d'exploitation en 2023. plus
  • Me nombreux sites utilisent toujours par défaut le mot de passe + 2FA mais proposent un mot de passe en option

Le friction réside désormais principalement dans l'adoption du site et la familiarité des utilisateurs. La technologie est établie.

Là où les clés d'accès sont insuffisantes

Quelques limitations honnêtes :

  • La récupération de compte est plus difficile. Perdez tous vos appareils et l'accès à votre fournisseur de synchronisation, et vous risquez de perdre vos clés d'accès. Les sites qui prennent en charge les clés d'accès ont toujours besoin d'un flux de récupération de compte, remontant souvent au courrier électronique ou aux SMS, ce qui signifie que le niveau de sécurité reste le fournisseur de messagerie ou de téléphone. La synchronisation entre fournisseurs nécessite un gestionnaire de mots de passe tiers.
  • La protection contre le phishing n'est pas une protection contre le piratage de compte. Une clé d'accès ne peut pas être hameçonnée, mais les cookies de session après la connexion peuvent toujours être volés par des logiciels malveillants.

Pour la plupart des comptes, les clés d'accès sont strictement meilleures que les mots de passe. La migration s'effectue un site majeur à la fois.

Questions fréquemment posées

Que se passe-t-il si je perds mon téléphone avec un mot de passe ?
Si le mot de passe a été synchronisé avec votre compte iCloud/Google, vous pouvez le récupérer en vous connectant à ce compte sur un nouvel appareil. S'il était lié au périphérique (clé matérielle), vous avez généralement également enregistré un périphérique de sauvegarde – chaque site prenant en charge les clés d'accès recommande d'en enregistrer au moins deux. Le flux de récupération revient au courrier électronique/SMS si les deux échouent.
Les mots de passe sont-ils les mêmes que la connexion biométrique ?
Pas exactement. La biométrie (Touch ID, Face ID) est ce qui déverrouille le mot de passe sur votre appareil. Le mot de passe lui-même est une clé cryptographique. L'empreinte digitale ne quitte jamais votre appareil : le site ne voit que la signature d'une clé dans votre enclave sécurisée. La biométrie autorise la cryptographie ; cela ne se transmet pas.
Un mot de passe peut-il être volé ?
La clé privée réside dans un matériel sécurisé (Secure Enclave, TPM, TitanM2) et est conçue pour être non extractible. Les clés d'accès synchronisées dans le cloud peuvent être exposées si votre compte iCloud ou Google est compromis. C'est pourquoi ces comptes ont besoin de leur propre protection renforcée (idéalement avec une clé matérielle 2FA).
Tous les sites Web fonctionnent-ils avec des mots de passe ?
Uniquement les sites qui ont implémenté WebAuthn. L'adoption est large mais inégale : les grands sites technologiques et financiers la soutiennent généralement, les sites plus petits ne le font souvent pas. Lorsqu'un site ne prend pas en charge les mots de passe, vous revenez au mot de passe + 2FA, ce qui est très bien.
Les clés d'accès sont-elles plus sûres que les clés matérielles ?
À peu près équivalent pour la propriété de résistance au phishing. Les clés matérielles présentent un avantage : les informations d'identification ne peuvent jamais être exfiltrées, même si votre ordinateur ou votre compte cloud est compromis. Les clés d'accès synchronisées sont plus pratiques et tout aussi résistantes au phishing, mais moins résilientes face à un compte cloud entièrement compromis. Pour les comptes à enjeux élevés, utilisez une clé matérielle. Pour une utilisation quotidienne, les clés d’accès synchronisées constituent le bon équilibre.
Clés d'accès expliquées : comment FIDO2 et WebAuthn tuent le mot de passe