Ce gestionnaire de mots de passe veut que vous n'en utilisiez plus, du tout

Alexandre Boero
Chargé de l'actualité de Clubic
20 novembre 2022 à 10h30
15
Bienvenue dans un monde sans mots de passe (© 1Password)
Bienvenue dans un monde sans mots de passe (© 1Password)

1Password anticipe la disparition presque programmée du mot de passe en faisant la part belle aux clés de sécurité, que le service devrait proposer à ses clients dès l'an prochain.

Le gestionnaire de mots de passe 1Password, qui a récemment rejoint l'alliance FIDO (consortium qui fournit les normes d'authentification forte), prépare déjà l'avenir. Alors que le monde sans mot de passe, c'est déjà demain, le service ne veut pas se laisser déborder ni se laisser mourir comme celui qui fut pendant des années son leitmotiv. Ses équipes viennent ainsi de dévoiler une démo et une présentation de ses passkeys, à savoir ses clés de sécurité, ou clés d'accès.

Des clés de sécurité qui ne peuvent pas faire l'objet de violations de données

1Password en est convaincu, les clés d'accès offriront une nouvelle façon de se connecter à un site ou compte en ligne, sans avoir à utiliser le moindre mot de passe. « Avec cette solution, imaginez que vous n'avez plus besoin de les modifier ni de vous soucier du nombre de symboles ou de caractères spéciaux pour chacun des sites » qui nécessitent un ou plusieurs moyens d'authentification.

Dès le début de l'année 2023, 1Password veut pouvoir offrir la possibilité à ses utilisateurs de se connecter à leurs applications et sites web sans mot de passe. La technologie permet de remplacer ses mots de passe traditionnels par une clé qui ne peut pas être dérobée en cas de violation de données. Apple, avec son système de reconnaissance faciale FaceID, permet par exemple de déverrouiller son iPhone ou son iPad, mais aussi de se connecter à des applications et de valider des achats.

Les clés d'accès présentent un avantage de sécurité en ce qu'elles sont stockées sur vos appareils, et que l'on ne peut y accéder qu'à l'aide de la biométrie. S'il n'y a pas de mot de passe à entrer, ce qui peut perturber, on peut comparer cela à une clé physique que l'on va brancher sur son ordinateur ou téléphone. Les « clés de passe » utilisent la même technologie, à la différence qu'elles sont entièrement basées sur un logiciel.

1Password présente une clé de sécurité qui a l'avantage d'être interopérable

1Password envisage la question d'une tout autre manière qu'Apple, ne manquant pas de préciser que sa solution est meilleure que les autres. Mais pourquoi ? Les clés d'accès du service sont construites pour prendre en charge plusieurs plateformes, ainsi que la synchronisation multiplateforme. Autrement dit : chaque compte obtiendra sa propre clé d'accès, et ces dernières fonctionneront de manière interopérable. « Vous devriez pouvoir utiliser l'application ou l'appareil de votre choix pour créer, gérer et vous authentifier avec des clés d'accès », indique le service.

Aujourd'hui, et c'est là que 1Password fait fort, les clés d'accès utilisées par d'autres plateformes (Apple, par exemple) nécessitent d'utiliser un appareil du même écosystème pour s'authentifier. « La synchronisation avec d'autres systèmes d'exploitation ou le partage de clés d'accès nécessite des solutions de contournement fastidieuses, comme un QR Code, ce qui se traduit par une expérience plus compliquée et moins sécurisée », précise 1Password.

1Password n'est pas le premier à se lancer dans le sans mot de passe. Son concurrent Dashlane propose un système de clés d'accès depuis cette année. Il ne fait aucun doute que d'autres gestionnaires de mots de passe (il faudra bientôt les appeler autrement d'ailleurs) leur emboîteront le pas. Les géants Apple (qui a déployé son Trousseau iCloud dans macOS Ventura et iOS 15) et Google (en bêta test) ne sont pas en reste.

Source : Blog 1Password

Alexandre Boero

Chargé de l'actualité de Clubic

Chargé de l'actualité de Clubic

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJC...

Lire d'autres articles

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM), pour écrire, interroger, filmer, monter et produire au quotidien. Des atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la prod' vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et Koh-Lanta :)

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page

Sur le même sujet

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (15)

tux.le.vrai
pas bien compris comment celà fonctionne mais je lis :<br /> "Les clés d’accès présentent un avantage de sécurité en ce qu’elles sont stockées sur vos appareils, et que l’on ne peut y accéder qu’à l’aide de la biométrie. "<br /> Alors, le jour où je reviens à moi sur mon lit d’hôpital avec le visage abimé, je ne pourrai plus accéder à aucune identification ? en particulier mail et compte bancaire ?<br /> Une clef stockée sur nos appareils est-elle vraiment à l’abri ?<br /> J’imagine qu’il faut faire confiance à 1Password qui doit sans doute assurer qu’en aucun cas il ne connais la clef ?<br /> faudrait que je trouve l’explication du système 1Password, celà répondrait sans doute à mes interrogations ?
Rapeqe
On ne parle pas, dans ce cas-ci, du logiciel 1password. On parle plutôt, par exemple, de votre tablette Apple qui vous reconnait par votre visage ou optionnellement avec un court mot de passe pin. La clé est alors en sécurité tant que l’OS de la tablette en soit n’est pas corrompu, mais seulement dans ce cas.<br /> D’autres appareils, comme les clé fido dédiées (ex. Yubikey), permettent de conserver ses clés en sécurité, qu’importe l’état de l’os ou du navigateur hôte. En revanche, un navigateur corrompu pourrait vous faire signer le mauvais site.<br /> Ce sont là les limites du système, ce qui est bien moins pire qu’un système de gestion de mots de passes en clair.
max6
citation « Apple, avec son système de reconnaissance faciale FaceID, permet par exemple de déverrouiller son iPhone ou son iPad, mais aussi de se connecter à des applications et de valider des achats. »<br /> mais on peut aussi déverrouiller avec un code pin, que se passe-t-il alors parce que si on accès à l’application 1Password leur biométrie c’est du flan et si le seul accès est la biométrie que faire en cas de pannes de l’appareil photo. Accès quand même dans un cas,plus d’accès dans l’autre ?<br /> Dans ce cas hors de question.<br /> Ce ne serait pas encore une bonne histoire de marketing tout ce cirque parce qu’en informatique dès qu’on parle de sécurité « inviolable » je sens mes poils se hérisser !
gamez
l’identification par reconnaissance faciale ne peut elle pas être dupée par une simple photo?<br /> concernant l’article dans sa globalité, je n’ai pas compris le mode d’action de ce gestionnaire.<br /> concrètement comment ça se passe?
JeanFIZ
Dashlane, 1Password…<br /> Je préfère Trousseau iCloud Apple California.
dimebag
Il y en a qui se crée vite des noeuds au cerveau…c’est pas encore en place et il y a des tas de personnes qui bossent là dessus pour régler les problèmes, cool les gens…
alabifr
Personne n’a compris. Normal, c’est juste une pub déguisée. J’ai keepass et authy pour la double authentification. Authy est la meilleure solution pour la double authentification, surtout c’est totalement gratuit. Seulement il y a un hic :très peu de sites internet proposent la double authentification, quelle soir matérielle ou software, à part quelques uns qui ont un système propriétaire, comme par exemple les banques, orange… Alors, ce logiciel dont ont fait l’éloge, comment peut il faire si les sites visités ne sont pas compatibles ?
ar-s
Par une simple photo non depuis longtemps, du moins pas sur les smartphones haut de game. ça prend en compte la 3Ddu visage. Avec un masque latex genre film j’en sais rien ^^
max6
Le trousseau est une fonction que l’on retrouve sur tous les OS encore que celui de microsoft soit un vrai b…del (pour avoir été obligé de fouiller dedans pour supprimer des clé obsolètes qui se mélangeaient avec des clé fonctionnelle portant la même nom).<br /> Mais celui des MAC est aussi simple d’utilisation que celui que l’on trouve dans les distributions Linux mais ce n’est pas vraiment conçu pour le même usage.
xavz78
Autant sur Smartphone la biométrie j’accepte, c’est sûr sauf couteau sous la gorge (au sens litéral). A condition de ne pas le perdre ou se le faire voler.<br /> Par contre sur ordinateur, j’ai plus de mal. Je ne connais que les lecteurs d’empreinte avec la possible interception entre le lecteur et le logiciel…
Feunoir
1password a rejoint l’alliance FIDO (Fast ID Online) et veut s’y faire une petite place (car sa survie en dépend)<br /> Donc on parle en fait de la technique de clé cryptographique privé/publique poussée par cette Alliance là (de gros poissons)<br /> Tellement gros qu’ils pensent pouvoir l’imposer facilement (faut dire Apple/Microsoft/Google c’est déjà une bonne base coté système d’exploitation)<br /> C’est basé sur une clé privé gardé sur notre machine qui sert de base pour faire une clé publique que l’on file au site pour s’identifier.<br /> Si je comprends bien 1password souhaite pouvoir faire l’intermédiaire pour faciliter le transfert de la clé privé entre nos différents matos, car par défaut c’est pour l’instant assez difficile de passer entre android/Apple/microsoft, ici l’app 1password pourrait générer une clé privé pour les sites chaque fois que l’on change de matos.<br /> La faq de l’alliance FIDO donne qq réponses aux questions les plus évidentes<br /> FIDO Alliance<br /> FAQ's - FIDO Alliance<br /> General Questions Standards FIDO &amp; Security How does FIDO work? FIDO2 New Work Areas Metadata Service FIDO Certification Biometrics Program FIDO &amp; Regulation FIDO IoT Passkeys<br /> Est. reading time: 1 minute<br /> Le problème c’est que c’est au bon vouloir de chaque site au final, est ce qu’ils vont mettre des moyens pour refaire leur partie login? Est ce que google/bing vont déclasser dans leur moteur de recherche les sites qui n’utilisent pas le FIDO pour les inciter à le faire?<br /> Perso sans aller vers leur FIDO j’aurais au moins voulu une uniformisation des limites des password, genre 512caracteres maximum, 20 minimum, tous les caractères acceptés (tous les spéciaux) et on évite la confirmation incompatible password manager (retaper le password à la main : GRDF je pense a vous) car là c’est plutôt une règle à connaitre par site.<br /> (C’est Keepass qui tape mes password, j’en connais aucun (hors le master), qu’ils fassent 20 ou 500 cela ne change rien pour moi)
promeneur001
Oui certains sites n’acceptent pas lors de la création de compte ou renouvellement du mdp que le générateur de mdp remplisse les champs. Il faut les remplir à la main.<br /> Exemple ENEDIS, Leroy-Merlin, etc. Et ce n’est pas une sinécure pour un mdp de 14 symboles. Ne parlons pas de la liste limitée de symboles spéciaux ! Désormais, j’y pense à chaque fois que j’ai une erreur bizarre ou un échec.
promeneur001
Pour M et Me Dupont ça va dans le bon sens. Il faut aller vers un procédé transparent pour l’utilisateur. Reste la gestion des clés quand on change d’appareil pour un neuf ou quand on installe une nouvelle version d’OS par réinstallation. Là aussi, il faut que ça soit transparent.<br /> Il faudrait peut-être généraliser l’identité numérique comme la carte d’identité. On a bien tous un numéro de Sécurité sociale.<br /> Quant à sa généralisation, une règlementation peut le faire. Ce ne serait pas une première en matière de sécurité.
Voir tous les messages sur le forum