Les passkeys sont une nouvelle méthode d’authentification dont le but est de remplacer les mots de passe. Elles sont basées sur la cryptographie asymétrique, qui utilise deux clés, une clé privée et une clé publique. La clé publique est partagée avec le site Web ou l’application, tandis que la clé privée est stockée sur l’appareil de l’utilisateur. Il est possible d’imager cela comme : la clé privée est celle qui permet d’ouvrir une serrure et la clé publique est la serrure.
Lorsque l’utilisateur se connecte à un site Web ou une application utilisant des passkeys, il est invité à scanner un code QR, à toucher ou exécuter un signe sur son appareil, à utiliser un facteur biométrique sur le site Web ou l’application. L’appareil utilise ensuite la clé privée pour générer une signature numérique, qui est envoyée au site Web ou à l’application. Le site Web ou l’application utilise la clé publique pour vérifier la signature et authentifier l’utilisateur.
Quelles sont les avantages des passkeys ?
Les passkeys présentent plusieurs avantages par rapport aux mots de passe :
- Elles sont plus sûres, car elles utilisent la cryptographie asymétrique.
- Elles sont plus faciles à utiliser, car l’utilisateur n’a pas besoin de se souvenir d’un mot de passe complexe.
- Elles sont plus compatibles, car elles sont basées sur la norme Web Authentication API
- Elles réduisent considérablement l’intérêt du phishing car il n’y a plus de mots de passe à récupérer
A noter toutefois que les passkeys sont encore en cours de développement, mais elles sont déjà soutenues par les principaux navigateurs Web et systèmes d’exploitation. Elles pourraient remplacer les mots de passe dans l’avenir.
Quelles sont les inconvénients des passkeys ?
La clé privée devient l’élément important à sécuriser. De ce fait, tous les terminaux qui la possèdent doivent être surveillés et sécurisés. Les fraudeurs seront à la recherche de failles pour récupérer cette clé privée. A noter que i la protection de cette clé se fait via le terminal (comme l’empreinte), le fraudeur devra avoir les deux éléments.
La duplication de la clé privée entre les terminaux n’est pas simple actuellement. Si le site Web le permet, il faut générer une passkey par terminal et par site. Cependant, certains fournisseurs de passkeys les associent aux comptes de la personnes, ce qui permet de les transférer. Sans cela, il l convient d’avoir un gestionnaire de passkeys fiables.
Comments are closed