Un web sans mot de passe : est-ce possible ?
Que tous ceux qui se demande si un monde sans mot de passe sera un jour possible, sachez qu’en ce jour du World Password Day qui s’est tenu le 5 mai, Google a annoncé, en association avec FIDO Alliance et d’autres plateformes majeures, avoir atteint une nouvelle étape importante vers un avenir sans « password ».
A cet effet, ce moteur de recherche prévoit d’intégrer la solution sans mot de passe pour les standards de connexion FIDO dans Chrome, ChromeOS et Android. Apple et Microsoft ont eux aussi annoncé leur intention de suivre la même voie. Pour les utilisatrices et les utilisateurs, cette évolution signifie que la connexion via un appareil, des sites Web et des utilisations sera simplifiée, indépendamment de la plateforme utilisée, et sans qu’un mot de passe ne soit requis.
Comment fonctionnerait-il ?
Imaginez que vous vous connecterez à un site web ou à une application sur votre téléphone, vous déverrouillerez simplement votre téléphone – votre compte n’ait plus besoin de mot de passe. Cela signifie que votre téléphone stockera un identifiant FIDO appelé « passkey », qui sera utilisé pour déverrouiller votre compte en ligne. La clé de passe rendra la connexion beaucoup plus sûre, car elle est basée sur la cryptographie à clé publique et n’est montrée à votre compte en ligne que lorsque vous déverrouillez votre téléphone.
Ainsi pour vous connecter à un site Web sur votre ordinateur, il vous suffira d’avoir votre téléphone à portée de main et vous serez simplement invité à le déverrouiller pour y accéder. Une fois cette opération effectuée, vous n’aurez plus besoin de votre téléphone et vous pourrez vous connecter en déverrouillant simplement votre ordinateur. Même si vous perdez votre téléphone, vos clés d’accès seront synchronisées en toute sécurité sur votre nouveau téléphone à partir d’une sauvegarde sur le cloud, ce qui vous permettra de reprendre là où votre ancien appareil s’est arrêté.
Les croyances et vérités en matière de sécurité
D’ici à ce que l’avenir sans mot de passe devienne réalité, il est essentiel de continuer à utiliser des mots de passe forts et uniques pour une sécurité en ligne renforcée. Certains mythes de cybersécurité dépassés depuis longtemps, notamment en ce qui concerne la sécurité du Bluetooth ou des réseaux Wi-Fi publics, ont cependant encore la vie dure.
•C’est à moi de repérer les liens suspects par moi-même : Les tentatives d’hameçonnage peuvent conduire à de graves cyberattaques, mais en utilisant une technologie sécurisée par défaut, vous êtes automatiquement protégé contre nombre d’entre elles
•Évitez à tout prix le Wi-Fi public : L’industrie technologique continue d’apporter des améliorations pour réduire les risques de sécurité avec le Wi-Fi public, qui a historiquement été le modèle des mauvaises pratiques de sécurité. Les sites Web utilisant le protocole HTTPS offrent des connexions sécurisées grâce au cryptage des données.
•Bluetooth est dangereux : La technologie Bluetooth a parcouru un long chemin depuis sa création. Elle est beaucoup plus avancée et plus difficile à pénétrer, notamment par rapport à d’autres technologies.
•Les gestionnaires de mots de passe sont risqués : Il peut sembler risqué de confier toutes vos informations d’identification à un seul fournisseur, mais les gestionnaires de mots de passe sont conçus pour la sécurité – et si vous utilisez le nôtre, intégré directement dans Chrome et Android, alors vous savez qu’il est sécurisé par défaut.
•Les cybercriminels ne perdront pas leur temps à me cibler : Vous n’êtes peut-être pas une personnalité très en vue, mais cela ne veut pas dire que vous n’êtes pas sur les radars des cybercriminels.
En matière de sécurité, Google préconise :
- Utilisez la vérification en deux étapes (2SV) : La vérification en deux étapes requiert une deuxième forme de vérification pour accéder à votre compte, en plus de votre mot de passe. Il peut s’agir d’un code envoyé sur votre téléphone, d’une clé de sécurité, etc. Ainsi, si quelqu’un essaie d’accéder à votre compte, il aura beaucoup plus de mal à le faire car il aura besoin de votre mot de passe et de la deuxième forme de vérification. Appliquez 2SV pour sécuriser votre compte Google dès aujourd’hui, ce qui couvrira également tous les services pour lesquels vous utilisez la fonction S’identifier avec Google, d’une simple pression sur votre appareil.
- Utilisez un gestionnaire de mots de passe : Maintenant que vous connaissez la vérité sur les gestionnaires de mots de passe, utilisez-en un en plus de 2SV. Google Password Manager, intégré à Chrome et Android, stocke vos mots de passe, les remplit automatiquement pour les sites, crée des mots de passe forts, s’assure qu’ils ne sont pas saisis sur des sites malveillants et vous alerte lorsqu’ils sont compromis.
- Configurer la récupération du compte : Il arrive que l’on perde son téléphone, que l’on oublie son mot de passe, etc. Il est donc essentiel de mettre en place un système de récupération pour accéder à votre compte en cas de verrouillage. C’est d’autant plus vrai que d’autres comptes utilisent votre e-mail comme méthode de récupération. Ainsi, en veillant à ce que votre compte Google soit récupérable, vous le faites également pour vos autres comptes. Nous nous efforçons également d’éliminer davantage de comptes inactifs pour la sécurité de nos utilisateurs. Si votre compte devient inactif et que nous prenons des mesures, la récupération et l’activation de 2SV vous permettront de ne pas perdre de données. Ajoutez dès aujourd’hui une adresse électronique et un numéro de téléphone de récupération à vos comptes et inscrivez-vous au gestionnaire de comptes inactifs en plus de 2SV.
- Installez les mises à jour : Enfin, appliquez toutes ces mises à jour que vous avez repoussées sur vos appareils. Les mises à jour logicielles traitent souvent des vulnérabilités de sécurité critiques, et avec l’augmentation des cyber menaces, elles sont plus importantes que jamais. N’oubliez pas qu’il n’y a pas d’équipe informatique chargée d’assurer votre sécurité comme c’est le cas au travail ; c’est donc à vous de vous protéger à la maison. Prenez le temps de vérifier les mises à jour de votre appareil mobile, de votre routeur, de votre ordinateur, etc.