Peu de temps après l'annonce du mois dernier, Google a maintenant déployé PassKeys pour le compte Google, qui prend en charge la connexion sans mot de passe.
Les PassKeys pour le compte Google arrivent pour les connexions sans mot de passe
Selon un récent billet de blog de Christiaan Brand, Group Product Manager de Google, et de Sriram Karra, Senior Product Manager, le géant de la technologie vient d'introduire l'authentification sans mot de passe.
Baptisée “PassKeys”, cette nouvelle fonctionnalité permet aux utilisateurs de se connecter à leurs comptes sans avoir à taper de mot de passe. Cette initiative a été lancée à l'occasion de la “Journée mondiale du mot de passe” (célébrée chaque année le premier jeudi du mois de mai).
PassKeys de Google est une fonction d'authentification sans mot de passe qui fonctionnera également avec les mots de passe habituels en tant que 2FA. Le géant de la technologie affirme que la technologie qui sous-tend cette fonction est résistante aux attaques de phishing et autres, et qu'elle est plus sûre que les OTP.
Les utilisateurs peuvent activer cette fonction via les paramètres de leur compte Google, tandis que les administrateurs de l'espace de travail Google pourront bientôt activer les Passkeys pour leurs utilisateurs finaux.
Les Passkeys sont-ils suffisamment sécurisés ?
L'authentification sans mot de passe est une idée défendue depuis longtemps. Elle a attiré l'attention du monde entier lorsque le Forum économique mondial (WEF) a insisté sur l'utilisation de cette stratégie d'authentification au début de la pandémie de COVID-19.
Bien que la technologie existe depuis un certain temps, de nombreux fournisseurs, y compris Microsoft, l'ont adoptée. Et de nombreux fournisseurs, dont Microsoft, ont déjà adopté cette méthode pour sécuriser les comptes de leurs utilisateurs.
Pourtant, les experts soupçonnent des problèmes inhérents à des choses comme PassKeys qui contredisent le véritable concept de l'ouverture de session sans mot de passe et la sécurité du compte qui en découle.
Dans une discussion connexe avec LHN, Rob Griffin, PDG de MIRACLE, a fait part de ses réflexions,
“Il est reconnu depuis longtemps que les mots de passe sont dépassés et pas assez sûrs pour les besoins d'une entreprise moderne, donc le mouvement de Google pour supprimer les mots de passe ne peut être qu'une bonne chose. Si les principales entreprises technologiques adoptent un avenir sans mot de passe, cela rendra la vie beaucoup plus difficile aux cybercriminels et plus sûre pour les entreprises et les particuliers partout dans le monde.
Néanmoins, il a également mis en évidence deux problèmes principaux qui brouillent le concept glorifiant des PassKeys.
PremièrementPasskeys est en réalité un gestionnaire de mots de passe basé sur le cloud et nous avons vu avec Lastpass que les gestionnaires de mots de passe sont intrinsèquement défectueux. Il est remarquable qu'il n'y ait aucun mot sur la façon dont les Passkeys sont sécurisés et pourquoi un référentiel unique basé sur le cloud pour des informations d'identification de grande valeur devrait être considéré comme beaucoup plus sûr.
Deuxième, se passer de mot de passe n'est absolument pas suffisant. Presque tout le monde s'est déjà fait pirater un compte, et beaucoup d'entre nous plusieurs fois. C'est parce que la dépendance à un seul facteur nous rend tragiquement vulnérables.
Avec des applications d'authentification sans mot de passe comme DUO et MIRACL, l'idée d'utiliser des PassKeys comme 2FA peut être absurde.
À mesure que nous délaissons les mots de passe, nous devrions adopter une technologie qui permet une authentification multifactorielle sans mot de passe. C'est là que les Passkeys ne sont pas à la hauteur parce qu'essentiellement, tu ne peux pas avoir le beurre et l'argent du beurre. Soit tu les utilises pour te débarrasser des mots de passe, soit tu conserves ton mot de passe et tous les problèmes qu'il entraîne et tu utilises les Passkeys comme une couche supplémentaire. Ce n'est pas suffisant !
Google a actuellement déployé PassKeys comme méthode 2FA qui fonctionnera en tandem avec les mots de passe habituels. L'entreprise justifie cet acte en expliquant qu'il faudra du temps pour que les utilisateurs se passent de mot de passe avec PassKeys.
On ne sait toujours pas si PassKeys est le authentification sans mot de passe que Google visait ou si le géant de la technologie a quelque chose à préparer.
Néanmoins, étant donné l'énorme base d'utilisateurs du compte Google et de l'espace de travail Google, une telle initiative est appréciable car nous nous attendons à ce que davantage de consommateurs non techniciens réalisent la nécessité de déployer des méthodes d'ouverture de session sécurisées. Il faudra peut-être attendre pour voir où PassKeys nous mènera dans les jours à venir.
Fais-nous part de tes réflexions dans les commentaires.
