Google pousse les mots de passe vers la sortie pour vous faire adopter les clés de sécurité

Alexandre Boero
Chargé de l'actualité de Clubic
11 octobre 2023 à 07h45
16
Les clés de sécurité, l'avenir de la connexion sur Google © Google
Les clés de sécurité, l'avenir de la connexion sur Google © Google

Le géant Google intensifie sa campagne pour éliminer les mots de passe en faisant la promotion de la technologie des « passkeys », les clés de sécurité. L'entreprise voit cette démarche comme une alternative plus sûre et conviviale.

Depuis quelques mois, Google ne cache plus son ambition de se passer des mots de passe, et de faire des passkeys (clés de sécurité) l'option par défaut pour les utilisateurs. Cette méthode, plus simple et plus sécurisée, a fait l'objet de retours positifs de la part de la communauté, qui confortent la firme de Mountain View dans l'idée d'accélérer le processus, en douceur malgré tout. Voilà une innovation qui devrait simplifier à l'avenir la connexion en ligne.

Une transition facilitée vers les passkeys pour une meilleure sécurité

La prochaine fois que vous vous connecterez à votre compte Google, vous devriez être invité par l'entreprise à créer, puis à utiliser une clé de sécurité, qui sera activée par défaut. Par la même occasion, Google vous proposera d'activer une option permettant d'ignorer le mot de passe dès que possible, depuis les paramètres du compte.

Pour pouvoir utiliser des passkeys, vous pourrez utiliser une empreinte digitale, un code PIN, ou bien effectuer un scan de votre visage, pour déverrouiller votre appareil. La méthode est, selon Google, « 40 % plus rapide que les mots de passe » traditionnels. Et surtout, la clé de sécurité s'appuie sur un chiffrement qui offre une meilleure sécurité.

Mais même si la clé de sécurité représente une indéniable avancée, elle se destine surtout à l'avenir à moyen terme. « Nous savons que les nouvelles technologies mettent du temps à s'implanter », reconnaît l'entreprise, qui prédit encore une longue vie aux mots de passe.

Les passkeys offrent une meilleure sécurité et un gain de temps aux utilisateurs © Google
Les passkeys offrent une meilleure sécurité et un gain de temps aux utilisateurs © Google

Google avance pas à pas, mais prône l'efficacité de la méthode

Pour éviter de chambouler les utilisateurs, Google offrira toujours la possibilité d'utiliser un mot de passe pour se connecter. Donc, à l'inverse de ce que nous disions plus haut, une personne pourra empêcher la mise en place des clés de sécurité par défaut, en désactivant la fameuse option qui permet d'ignorer les mots de passe traditionnels.

Google espère convaincre lentement, mais sûrement ses centaines de millions d'utilisateurs adeptes du mot de passe. « L'un des avantages les plus immédiats des passkeys est qu'ils évitent aux utilisateurs d'avoir à se souvenir de tous ces chiffres et caractères spéciaux qui forment les mots de passe. » Les clés de sécurité ont aussi fait leurs preuves contre le phishing, fléau des boîtes mail.

Autre motif d'espoir pour l'adoption des passkeys : les retours des testeurs. Certains ont adopté les clés de sécurité pour utiliser leurs applications préférées, comme Maps, YouTube ou le moteur de recherche, et ne peuvent plus s'en passer. Google sait aussi que la méthode, proposée sur Uber et eBay, fait des émules. « La compatibilité avec WhatsApp sera également bientôt disponible », promet la firme. Les clés de sécurité devraient progressivement être proposées à l'ensemble des utilisateurs Google.

Source : Google

Alexandre Boero

Alexandre Boero

Chargé de l'actualité de Clubic

Chargé de l'actualité de Clubic

Journaliste, chargé de l'actualité de Clubic. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJC...

Lire d'autres articles

Journaliste, chargé de l'actualité de Clubic. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM, école reconnue par la profession), pour écrire, interviewer, filmer, monter et produire du contenu écrit, audio ou vidéo au quotidien. Quelques atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la production vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et la musique :)

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (16)

bennukem
Donc un Pin code à 4 chiffres pour débloquer son passkey est plus sécurisé qu’un mot de passe ?
Werehog
Le passkey est stocké physiquement. Il faut donc un accès à l’appareil.<br /> Cela dit quelqu’un qui se fait voler son smartphone avec code pin 1234 est autant à risque que le petit calepin avec les mots de passe écrits dessus.
bennukem
Voilààààà. Exactement à quoi je pensais
Laurent_Marandet
Ca ne vaut pas une bonne clé usb u2f/fido2 à 20€ ! L ennui c est qu il y a peu de sites qui les supportent: ovh manager, gmail, microsoft à condition d utiliser leur cloud mais pas amazon ni les banques. Je m en sers pour protéger le compte admin des sites wordpress.
MattS32
bennukem:<br /> Donc un Pin code à 4 chiffres pour débloquer son passkey est plus sécurisé qu’un mot de passe ?<br /> Sur plus d’un point, oui, parce que le mot de passe donne accès à ton compte de n’importe où alors que le PIN ne fait que débloquer l’accès à ton compte sur une machine sur laquelle tu t’es déjà identifié au préalable. C’est une forme d’authentification à deux facteurs.<br /> Ce qui fait que :<br /> tu utilises moins souvent le mot de passe =&gt; moins de risque de se le faire voler (keyloggers et cie…),<br /> même sur les machines te connaissant, tu as besoin du PIN, alors que le comportement habituel des gens pour les comptes qu’ils utilisent souvent c’est de rester authentifié, pour ne pas avoir à saisir leur mot de passe à chaque fois.<br /> Bien sûr, il y a le risque que la passkey soit volée. Mais c’est pas si simple, et de toute façon celui qui arrive à voler la passkey arriverait aussi à voler les cookies utilisées dans le cas classique pour maintenir l’authentification. Et plus facilement en fait, parce que ces cookies ne sont en général quasiment pas protégés, contrairement aux passkeys qui vont exiger le PIN à chaque tentative d’accès (et j’ai jamais testé, mais j’ose espérer que la plupart des implémentations de stockage de passkeys empêchent de faire un bruteforce sur le code PIN).<br /> Ça ne régresse donc en sécurité que par rapport au cas où tu te déconnectes manuellement du compte après chaque utilisation (ou ne coche pas la case «&nbsp;Me reconnaître&nbsp;» sur les sites qui la proposent). Mais dans ce cas, tu peux continuer à faire comme avant, quand tu te déconnectes manuellement ou ne demande pas à être reconnu, il n’y a pas de passkey conservée sur la machine.
Caramel34
Pour l’instant je ne vois rien venir. Pas plus tôt qu’hier voulant m’identifier avec un second compte v’la t’y pas qu’on me demande mon numéro de téléphone ! Et impossible de passer par une autre forme d’identification.
bmustang
le calepin est bien à l’abri chez moi et pas dans ma poche de tous les jours. google dit est on doit le croire, mais si le passkey est stocké sur le device, qu’est ce qui m’assure que mon pc se fera pas volé celle-ci et sera détourné dans mon dos ?
MattS32
bmustang:<br /> qu’est ce qui m’assure que mon pc se fera pas volé celle-ci et sera détourné dans mon dos ?<br /> Même si on te vole ton PC, il faudra quand même le PIN pour accéder à la passkey, qui n’est pas stockée en clair. Et je viens de tester, si par exemple on utilise Windows Hello pour le stockage de la passkey (ce qui est le stockage par défaut de Firefox sous Windows, le bruteforce du code PIN est compliqué : au bout de 4 essais infructueux, faut redémarrer le PC… et je serai pas surpris qu’avec encore un peu plus d’essais infructueux ça finisse par demander le mot de passe du compte Windows/Microsoft plutôt que simplement le code PIN). Avec mon PIN à 6 chiffres, en testant dans l’ordre et en considérant un reboot en 30s, ce qui est assez optimiste, même s’il n’y a pas plus de sécurité qu’un reboot tous les 4 essais, tu en as pour plus de 10 jours en continu pour forcer mon PIN… Et je pourrai facilement pour plus de sécurité passer à un PIN à plus de 6 chiffres, Windows Hello le permet (et on peut même y mettre autre chose que des chiffres il me semble).<br /> Alors que si tu ne t’es pas déconnecté de ton compte avec une authentification classique et si ton stockage n’est pas chiffré, généralement il faut rien du tout pour accéder à ton compte (rares sont ceux qui ont mis un mot de passe général sur leur navigateur…)
lithium
La passkey est un objet les gars (clé usb, nfc, bluetooth) Fido2<br /> Elle peut être volée avec l’appareil si elle y était toujours insérée, mais elle est protégée comme une carte bleue : elle ne peux pas être copiée, après 3 echecs elle est verrouillée, on peut saisir le code pin de réinitialisation pour la restaurer. Si elle est totalement réinitialisée, ce sera un nouveau token qui ne permettra pas de se connecter aux comptes existants.
MattS32
lithium:<br /> La passkey est un objet les gars (clé usb, nfc, bluetooth) Fido2<br /> Non, les clés physiques c’est encore autre chose.<br /> La passkey, c’est une clé logicielle, stockée dans un coffre fort sécurisé (par exemple Windows Hello).<br /> Sur ma banque par exemple, j’ai bien le choix entre les deux :<br /> Si j’opte pour le second choix, c’est Windows Hello qui va être utilisé pour stocker la passkey et la sécuriser avec le code PIN de Windows Hello :<br /> Ensuite je peux me connecter au site depuis n’importe quel autre navigateur sur le même PC en ne saisissant que mon PIN Windows Hello (la passkey étant stockée dans Windows Hello, elle n’est pas propre au navigateur). Par exemple, si je passe sur Chrome :<br />
Feunoir
Il n’y a pas que Google<br /> Un article sur ce changement mis en avant pendant une semaine avant de le faire cela aurait été pas mal je pense<br /> Plus de nom d’utilisateur mais le mail uniquement (avec l’option d’utiliser le password (pour l’instant?))<br /> Pas trop fan de ce changement (des clics en plus pour avoir le password et si je le fais par le mail cela va surement l’ouvrir sur edge (que je laisse par défaut) alors que je suis sur firefox (mais je n’ai pas essayé )<br /> image1034×558 45.8 KB
kyosho62
Il y a eu un post hier sur le forum<br /> Intervention de maintenance technique : déconnexion de votre compte Débat sur l'actu<br /> Chers membres du forum Clubic ! <br /> Je souhaite vous informer d’une intervention de maintenance technique qui aura lieu dans les prochains jours et qui aura notamment pour effet de vous déconnecter de votre compte membre. <br /> Je vous invite dès maintenant à <br /> dans le meilleurs des cas, vous assurer que vous connaissez votre mot de passe<br /> ou à bien vérifier que l’adresse email associée à votre compte est une adresse à laquelle vous avez accès, pour pouvoir vous reconnecter sans encombre !<br /> Ce message se…<br />
MattS32
Feunoir:<br /> Il n’y a pas que Google<br /> Par contre dans le cas de Clubic, il n’y a à priori pas d’utilisation des passkeys, ça reste un cookie d’authentification classique.<br /> Et pareil j’aime pas du tout ce genre de systèmes, qu’on voit de plus en plus souvent, parfois sans même l’option pour passer par le mot de passe. Je pense que c’est un moyen de lutter contre les inscriptions avec des fausses adresses mail, ça rend leur utilisation plus contraignante, surtout quand l’option mot de passe n’est pas proposée.
lithium
Ah en effet oui j’ai oublié que Hello et la sécurité biométrique android sont éligibles aussi, mes excuses.
MattS32
Pas seulement, les gestionnaires de mots de passe vont s’y mettre aussi.<br /> Bitwarden annonce par exemple que ça sera supporté dans les jours à venir (s’ils n’ont pas pris de retard depuis l’annonce) : Passwordless and Passkeys | Bitwarden<br /> Ce qui apportera du coup la possibilité de synchroniser les passkeys entre plusieurs appareils plutôt que simplement entre plusieurs applis d’un même appareil.
ovancantfort
C’est effectivement ce qui me dérange avec les passkeys en l’état actuel. Impossible de les synchroniser ou transférer entre Windows, IOS et android. Je soupçonne même nos chers GAFAMs de promouvoir ce système pour encore un peu plus bloquer les utilisateurs dans leur écosystème propre.<br /> J’attends la solution Bitwarden pour basculer.
lithium
Perso j’ai besoin d’aucun tiers, j’ai une yubikey 5 NFC
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Compte Google : le mot de passe, c'est fini ! Voilà comment faire Compte Google : le mot de passe, c'est fini ! Voilà comment faire
GitHub lance la connexion sans mot de passe avec des passkeys GitHub lance la connexion sans mot de passe avec des passkeys
Nintendo adopte à son tour les Passkeys Nintendo adopte à son tour les Passkeys
Exit les mots de passe, bonjour les clés biométriques : 1Password amorce le changement Exit les mots de passe, bonjour les clés biométriques : 1Password amorce le changement
Windows 11 veut remplacer vos gestionnaires de mots de passe... et il devient vraiment bon Windows 11 veut remplacer vos gestionnaires de mots de passe... et il devient vraiment bon