Microsoft déploie progressivement la prise en charge des passkeys dans la version 142 de son navigateur Edge sur Windows. C'est le gestionnaire de mots de passe par défaut qui va assurer le stockage sécurisé de ces clés d'accès.
L'été dernier, Microsoft annonçait la fermeture de son application Authenticator pour encourager la migration vers le gestionnaire de mots de passe intégré à Edge. C'est donc logiquement ce dernier que l'entreprise entend faire évoluer. Et parmi les nouveautés à venir, la firme de Redmond annonce la prise en charge native des clés d'accès.
Edge renforce son gestionnaire de mots de passe
Les passkeys reposent sur le standard ouvert FIDO2 et utilisent le chiffrement à clé publique pour authentifier les utilisateurs. Concrètement, chaque compte stocke une clé privée unique liée à un site web spécifique, tandis que le service en ligne ne conserve qu'une clé publique. Donc même en cas de fuite de données côté serveur, les données restent chiffrées et donc protégées, puisque la clé privée ne quitte jamais l'appareil de l'utilisateur.
L'authentification s'effectue soit via la reconnaissance faciale, l'empreinte digitale ou un code PIN de l'appareil, sans jamais saisir de mot de passe traditionnel. Car il s'agit d'éliminer au maximum les risques liés aux mots de passe faibles ou réutilisés, tout en bloquant les potentielles attaques par hameçonnage ou par credential stuffing.
La création d'une passkey s'effectue directement depuis les sites compatibles via une invite du navigateur. Le gestionnaire de mots de passe de Microsoft se charge ensuite du stockage et de la synchronisation entre les différents appareils Windows de l'utilisateur. Microsoft a ajouté une couche de sécurité supplémentaire en exigeant la création d'un code PIN dédié au gestionnaire de mots de passe lors de la première utilisation des passkeys. Ce PIN, distinct de celui de Windows Hello, déverrouille l'accès aux passkeys sur un nouvel appareil après synchronisation. L'utilisateur dispose de dix tentatives maximum pour saisir le bon code, et toutes les actions de déverrouillage ou de réinitialisation sont enregistrées dans Azure Confidential Ledger, un registre immuable qui garantit la traçabilité.
Microsoft fait donc réellement tout pour que vous utilisiez son navigateur internet. Mais heureusement, l'entreprise a développé un plugin pour Microsoft Password Manager permettant d'exploiter ces clés d'accès en dehors de Edge. Cette fonctionnalité, actuellement limitée aux comptes Microsoft personnels (MSA) sous Windows 10 et supérieur, sera étendue à d'autres plateformes par la suite.
