Cette journée mondiale du mot de passe est une bonne occasion de réfléchir à sa stratégie de sécurité des identités… et de commencer à se passer des mots de passe ?
Passkey : enfin l’alternative au mot de passe ?
Développés par l’alliance FIDO, association qui vise à offrir des alternatives sécurisées aux mots de passe, les Passkeys, déjà adoptés par Google, Apple, Microsoft ou encore TikTok, ont ouvert une voie intéressante et qui commence à s’installer.
En effet, les Passkeys représentent un changement significatif car ils permettent de s’affranchir des identifiants traditionnels que sont les noms d'utilisateur et les mots de passe pour adopter une approche plus sûre de l'authentification « sans connaissance » et qui offre une bien meilleure expérience à l'utilisateur. En tant que forme d'authentification sans mot de passe, les Passkey visent à éliminer les facteurs de risque inhérents aux identifiants traditionnels.
Le meilleur moyen d’avancer est de se lancer. Si vous voulez essayer– ce que je vous conseille - voici les étapes à suivre pour configurer un Passkey dans le navigateur Google Chrome sur un ordinateur portable déjà équipé de la fonction de reconnaissance faciale Windows Hello :
Connectez-vous à votre compte Google à l'adresse myaccount.google.com en utilisant le navigateur Chrome.
- Dans la partie gauche de la fenêtre, cliquez sur Sécurité.
- Dans la section "Comment se connecter à Google", cliquez sur Clés d'accès.
- Cliquez sur le bouton "Créer un mot de passe".
- Suivez les instructions pour vérifier votre identité et "Enregistrer votre mot de passe".
- Activez l'option permettant d'ignorer les mots de passe lorsque c'est possible dans vos paramètres de sécurité.
- Testez votre clé en vous déconnectant et en vous reconnectant.
Des Passkeys peuvent être créés sur ces appareils :
- Un ordinateur fonctionnant sous Windows 10 ou 11, macOS Ventura+ ou ChromeOS 120
- Un appareil mobile fonctionnant au moins sous iOS 16 ou Android 9
- Un navigateur moderne tel que Chrome v123.0 ou Edge v123.0
- Une clé de sécurité matérielle prenant en charge le protocole FIDO2 (facultatif).
Point intéressant avec les Passkeys : toute utilisation de données biométriques pour le déverrouillage des empreintes digitales ou du visage reste sur votre appareil et n'est jamais partagée avec Google, Apple, Microsoft, etc. ou tout autre site web acceptant les clés d'accès.
Car le mot de passe n’est pas encore mort, il est important de continuer à améliorer l’hygiène et les pratiques de gestion de mots de passe
Puisque le 2 mai est la journée du mot de passe et car le mot de passe est encore loin d’être mort, n’oublions pas de nous intéresser aux bonnes pratiques l'amélioration de l'hygiène et des pratiques de gestion des mots de passe. Le conseil le plus important : il est temps de se débarrasser des mots de passe faibles et réutilisés. Utilisez des mots de passe complexes, composés de plus de 16 caractères aléatoires ou de phrases de passe uniques pour chaque connexion. Comme cela peut s'avérer fastidieux, il est préférable d'utiliser un gestionnaire de mots de passe. Les gestionnaires de mots de passe peuvent générer automatiquement des mots de passe complexes et les conserver en toute sécurité. De plus, avec un gestionnaire de mots de passe, vous n'aurez qu'un seul mot de passe à retenir : celui de votre coffre-fort.
Les mots de passe seuls sont largement insuffisants, c’est pourquoi il est plus que recommandé d’utiliser l'authentification multi-facteurs (MFA). En combinant plusieurs facteurs d'authentification, vous vérifiez que l'utilisation de vos informations d'identification est bien la vôtre. L'authentification multi-facteurs est toujours considérée comme un moyen de dissuasion important (bien qu'incomplet) pour les pirates qui tentent de s'emparer d'un compte.
Et même si les technologies « sans mot de passe » sont vues comme le graal de demain, le MFA est vraiment l’élément incontournable de la sécurité de l’identité car au-delà de la question « avec ou sans mot de passe » l’enjeu est bien la sécurisation de l’identité.