Recherche de site Web

Microsoft, Google et Apple veulent que vous utilisiez des clés d’accès. Devriez-vous le faire ?

Résumé

  • Les clés d’accès vous permettent de vous connecter en toute sécurité à l’aide de vos appareils au lieu de saisir des mots de passe.
  • Les clés d’accès offrent plus de protection que les mots de passe en exigeant la possession de l’appareil et des données biométriques pour l’approbation de la connexion.
  • Vous devriez adopter les clés d’accès pour leur commodité et leurs avantages en matière de sécurité.

Les mots de passe sont pénibles. Les mots de passe sécurisés doivent être uniques, complexes et difficiles à retenir. Même les meilleurs mots de passe peuvent toujours être divulgués ou hameçonnés, ce qui entraîne des prises de contrôle de compte. Les clés d’accès sont censées résoudre tous ces problèmes, mais le font-elles et valent-elles la peine d’être configurées ?

Que sont les clés d’accès ?

Les clés d’accès sont un moyen de se connecter à vos comptes en ligne sans mot de passe. La « clé d’accès » elle-même est stockée sur un appareil que vous possédez : votre téléphone, votre ordinateur portable ou votre tablette peut servir de clé d’accès, ou vous pouvez utiliser une clé de sécurité matérielle comme une Yubikey.

Lorsque vous vous connectez à l’aide d’une clé d’accès, au lieu d’entrer un mot de passe, vous autorisez la connexion avec votre appareil (qui est sécurisé par un code PIN, une empreinte digitale ou un scan facial), ou vous appuyez sur votre clé de sécurité.

Yubico YubiKey 5 NFC

La Yubico Yubikey 5 NFC est la meilleure clé de sécurité pour les personnes à la recherche d’un équilibre parfait entre coût, caractéristiques et fonctionnalités avec la prise en charge multiprotocole FIDO.

Comment fonctionnent les clés d’accès ?

Les clés d’accès utilisent la norme WebAuthn qui génère des paires de clés cryptographiques hautement sécurisées sur votre appareil, partageant une clé publique avec le service en ligne qui peut être utilisée pour vérifier une tentative de connexion à l’aide de la clé privée associée sur votre appareil. Les clés privées ne sont jamais partagées avec le service, et la clé publique à laquelle le service a accès ne peut pas elle-même être utilisée pour se connecter, donc en cas de fuite, vos comptes restent en sécurité.

Certaines implémentations de clés d’accès vous permettent de sauvegarder et de synchroniser vos clés privées entre les appareils (par exemple, à l’aide du trousseau iCloud ou du gestionnaire de mots de passe Google), de sorte que si vous perdez votre téléphone, vous pouvez toujours vous connecter à partir d’une tablette ou d’un ordinateur portable synchronisé, ou restaurer vos clés sur votre appareil de remplacement. Ceci est facultatif, et ceux qui veulent une sécurité supplémentaire peuvent choisir de ne pas l’activer ou d’utiliser des clés de sécurité matérielles.

Les clés d’accès mises en œuvre par les membres de l’Alliance FIDO (qui comprend Google, Microsoft et Apple) sont conçues pour fonctionner sur toutes les plateformes et tous les services, de sorte que vous ne devriez avoir besoin de configurer qu’un seul d’entre eux.

En quoi les clés d’accès vous protègent-elles mieux que les mots de passe ?

Les clés d’accès fonctionnent en prouvant que vous êtes en possession de votre appareil pour vous connecter à un compte. Ceci, associé aux données biométriques utilisées pour déverrouiller votre appareil et approuver la connexion, rend incroyablement difficile pour quelqu’un d’autre d’obtenir un accès non autorisé. Lorsque votre mot de passe fuit en ligne, n’importe qui peut l’utiliser pour se connecter à un compte, mais c’est presque impossible avec des clés d’accès liées à un appareil qui doit être en votre possession et déverrouillé pour approuver une connexion.

Les comptes liés à des clés d’accès auront généralement besoin d’une paire de nom d’utilisateur et de mot de passe à des fins de configuration et de récupération, mais le fait de ne pas avoir à saisir vos mots de passe améliore considérablement la sécurité. Vous pouvez rendre vos mots de passe très complexes et les sécuriser dans un gestionnaire de mots de passe (en sachant que vous n'aurez pas besoin de vous en souvenir), ce qui rend plus difficile pour vous d'être victime d'attaques de phishing. Le fait de vous demander votre mot de passe au lieu d’une clé d’accès peut indiquer un site Web illégitime, et les clés d’accès ne fonctionnent que pour le site spécifique pour lequel elles ont été configurées (et non pour les imitateurs de phishing).

Alors, devriez-vous utiliser des clés d’accès ?

Oui! Mis à part les considérations de sécurité, les clés d’accès sont beaucoup plus pratiques à utiliser que les mots de passe. Pas besoin de se souvenir de mots de passe différents pour chaque application ou site Web, pas de saisie de mots de passe complexes frustrants et d’essayer de trouver des symboles sur votre clavier à l’écran. Assurez-vous simplement que vos clés d'accès (et vos appareils) sont sauvegardées ou, si vous utilisez des clés de sécurité matérielles, que vous avez configuré un appareil de secours stocké dans un endroit sécurisé.

Vous pouvez configurer des clés d’identification sur vos comptes et appareils Apple, Google ou Microsoft. De nombreux autres services prennent également en charge directement les clés d'accès pour la connexion, et ceux qui ne vous permettent pas souvent de vous connecter avec un compte qui le fait (par exemple, à l'aide de l'option « Se connecter avec... " pour vous connecter avec votre compte Google sur un autre site).