Authentification sans mot de passe : utiliser les Google Passkeys ?

Passkeys de Google

Vous le savez, les mots de passe sont indispensables pour protéger vos comptes et vos données en ligne.

 Mais vous le savez aussi, ils sont souvent difficiles à retenir, à taper et à gérer. 

Et ils ne sont pas à l’abri d’être volés ou piratés par des personnes malveillantes. Heureusement, il existe une solution pour vous simplifier la vie et renforcer votre sécurité : les Google Passkeys. 

Dans cet article, nous allons vous :

• expliquer ce que sont les Google Passkeys, 
• comment elles fonctionnent, 
• quels sont leurs avantages et leurs inconvénients, 
• et comment les utiliser. 

Nous allons également vous présenter les perspectives d’évolution de l’authentification sans mot de passe sur le web, et vous donner quelques conseils pour choisir la méthode qui vous convient le mieux.

Qu’est-ce qu’un Google Passkey, la clé d’accès numérique Google ?

Vous avez lu, dans mon article précédent : "Pourquoi s’identifier sur Internet est-il si important ?", que s'identifier sur Internet est une question très importante. Il en va de votre sécurité personnelle et financière ! Mais, c'est aussi une question complexe. (Relisez l'article si vous avez encore des zones d'ombre sur le sujet).

Nous allons donc voir un nouveau et prometteur moyen d'identification.

Un Google Passkey est une clé d’accès numérique, liée à votre compte Google, qui vous permet de vous identifier sans avoir besoin de saisir un mot de passe. 

Au lieu de cela, vous utilisez votre appareil (smartphone, tablette, ordinateur) pour confirmer votre identité, soit par un code PIN, soit par une empreinte digitale, soit par une reconnaissance faciale. 

Ainsi, vous n’avez plus à vous soucier de choisir un mot de passe complexe et unique pour chaque site ou service que vous utilisez.

D’où vient cette innovation ?

Les Google Passkeys sont basées sur les standards de l’Alliance FIDO (Fast IDentity Online), fondée en 2013, dont la mission est de résoudre le manque d’interopérabilité entre les dispositifs d’authentification forte et d'en finir avec le "chacun pour soi au détriment des utilisateurs. 

L’Alliance FIDO regroupe des acteurs majeurs du secteur informatique, tels que Google, Apple, Microsoft, Samsung, Intel ou encore Facebook. 

Son objectif est de proposer des solutions d’authentification simples, sécurisées et universelles, qui ne reposent pas sur des mots de passe.

L’une de ces solutions est le protocole FIDO2, lancé en 2018, qui permet aux utilisateurs de se connecter à des sites web ou des applications en utilisant leur appareil comme clé d’accès. 

Ce protocole repose sur deux composants WebAuthn et CTAP.  : 

• WebAuthn est une spécification qui définit comment les sites web peuvent demander et recevoir des informations d’authentification provenant d’un appareil. 
• CTAP est un protocole qui permet à un appareil externe (comme un smartphone ou une clé électronique) de communiquer avec un autre appareil (comme un ordinateur) pour fournir ces informations.

Les Google Passkeys sont une implémentation, une mise ne oeuvre, du protocole FIDO2 par Google. 

Elles utilisent WebAuthn pour créer et vérifier des clés d’accès liées à un compte Google, et CTAP pour synchroniser ces clés d’accès entre différents appareils via iCloud ou certains gestionnaires de mots de passe. 

Ce nouveau standart ne peut que se généraliser.

Comment utiliser un Google Passkey ?

Pour utiliser un Google Passkey, vous devez d’abord activer cette fonctionnalité sur votre compte Google. 

1. Pour cela, il suffit de vous rendre à cette adresse, de vous connecter à votre compte avec vos identifiants habituels 
2. puis de cliquer sur “Utiliser des clés d’accès”. 
3. Vous pouvez ensuite choisir l’appareil sur lequel vous souhaitez créer votre clé d’accès.
• d’un appareil Android fonctionnant sous Android 9 ou plus, bien sûr, 
• mais aussi iPhone fonctionnant sous iOS 16 ou plus, , 
• ou d’une clé électronique d’authentification physique. 

Une fois que vous avez créé votre clé d’accès, vous pouvez l’utiliser pour vous connecter à tous les services Google (Gmail, YouTube, Drive, etc.) sans avoir besoin de mot de passe.

Quels sont les avantages des Google Passkeys ?

Les Google Passkeys présentent plusieurs avantages par rapport aux mots de passe traditionnels :

• Elles sont plus simples à utiliser : vous n’avez plus à mémoriser ni à taper des mots de passe. Il suffit de déverrouiller votre appareil ou d’approcher votre clé électronique pour accéder à vos comptes.
• Elles sont plus sécurisées : elles réduisent les risques de phishing, de piratage ou de vol de mots de passe. En effet, les clés d’accès sont stockées sur votre appareil et ne peuvent pas être copiées ni interceptées. De plus, elles sont protégées par des mesures biométriques ou par un code PIN que seul vous connaissez.
• 
  Elles sont plus pratiques : vous pouvez utiliser la même clé d’accès pour tous les services Google, sans avoir à créer ni à gérer des mots de passe différents.
• Vous pouvez également partager votre clé d’accès avec d’autres appareils via iCloud ou certains gestionnaires de mots de passe.

Quels sont les inconvénients et les limites des Google Passkeys ?

Les Google Passkeys ne sont pas parfaites et comportent aussi quelques inconvénients et limites :

• Elles ne sont pas compatibles avec tous les sites et services : 
• pour le moment, seuls les services Google acceptent les clés d’accès comme méthode d’authentification. 
• Pour les autres sites et services, vous devrez continuer à utiliser des mots de passe ou d’autres moyens d’identification.
• Elles nécessitent un appareil compatible : pour créer et utiliser une clé d’accès, 
• vous devez disposer d’un appareil récent et compatible avec la technologie Google. 
• si votre appareil est trop ancien, trop endommagé ou perdu, vous ne pourrez pas accéder à vos comptes sans mot de passe.
• Elles peuvent être compromises en cas de vol ou de perte : 
• si quelqu’un parvient à dérober ou à accéder à votre appareil ou à votre clé électronique, il pourrait potentiellement accéder à vos comptes Google sans mot de passe. (Voir plus loin, comment réagir en cas de perte ou de vol de votre smartphone)
• C’est pourquoi il est important de protéger votre appareil avec un code PIN ou une mesure biométrique, et de révoquer vos clés d’accès en cas de problème.

Qu’est-ce que la vérification en deux étapes (2FA) ?

La vérification en deux étapes (2FA) est une autre méthode d’authentification qui demande aux utilisateurs de fournir deux éléments pour accéder à un compte ou à un système.

Le premier élément est généralement un mot de passe, et le second élément est un code à usage unique (OTP) envoyé par SMS, e-mail ou appel vocal. 

Ce code doit être saisi dans un délai limité pour valider l’authentification.

La vérification en deux étapes (2FA) présente certains avantages par rapport aux mots de passe seuls :

• Elle augmente le niveau de sécurité : elle rend plus difficile l’accès non autorisé à un compte ou à un système, car il faut disposer du mot de passe et du code à usage unique.
  Même si le mot de passe est volé ou piraté, le code à usage unique reste confidentiel.
• Elle est facile à mettre en place : elle ne nécessite pas de matériel spécifique ni de logiciel particulier.
  Il suffit d’avoir un numéro de téléphone ou une adresse e-mail valide pour recevoir le code à usage unique.

La vérification en deux étapes (2FA) présente également certains inconvénients et limites :

• Elle n’est pas très pratique : elle oblige les utilisateurs à attendre et à saisir le code à usage unique à chaque fois qu’ils veulent se connecter à un compte ou à un système.
  Cela peut être fastidieux et frustrant, surtout si le code n’arrive pas rapidement ou si on le perd.
• Elle n’est pas très fiable : elle dépend de la disponibilité du réseau téléphonique ou internet pour envoyer et recevoir le code à usage unique.
  Si le réseau est défaillant ou saturé, le code peut ne pas arriver ou arriver trop tard, empêchant ainsi l’authentification.
• Elle n’est pas très sécurisée : elle peut être victime de techniques d’interception ou de détournement du code à usage unique, comme le SIM swapping (remplacement frauduleux de la carte SIM) ou le phishing (hameçonnage).
  Ces techniques permettent aux pirates de récupérer le code à usage unique et de s’en servir pour accéder au compte ou au système visé.

Voici le paragraphe complet sur la comparaison entre les Google Passkeys et la vérification en deux étapes (2FA) :

Comment choisir entre les Google Passkeys et la vérification en deux étapes (2FA) ?

Les Google Passkeys et la vérification en deux étapes (2FA) sont deux méthodes d’authentification qui visent à renforcer la sécurité des comptes et des systèmes en ligne. 

Avantages et inconvénients dépendent du contexte et des besoins des utilisateurs

Les Google Passkeys comme la vérification en deux étapes présentent chacune des avantages et des inconvénients, qui dépendent du contexte et des besoins des utilisateurs.

Les Google Passkeys sont plus adaptées aux utilisateurs qui :

• Disposent d’un appareil compatible avec la technologie Google
• Utilisent principalement les services Google
• Privilégient la simplicité et la praticité
• Acceptent de faire confiance à Google

La vérification en deux étapes (2FA) est plus adaptée aux utilisateurs qui :

• N’ont pas d’appareil compatible avec la technologie Google
• Utilisent divers sites et services en ligne
• Privilégient la sécurité et la fiabilité
• Ne veulent pas dépendre de Google

Pour illustrer ces différences, prenons quelques exemples concrets :

• Si vous avez un smartphone Android récent et que vous utilisez souvent Gmail, YouTube ou Drive, les Google Passkeys peuvent vous convenir.
• Vous pourrez vous connecter à ces services sans mot de passe, en utilisant simplement votre empreinte digitale ou votre code PIN.
• Vous n’aurez pas besoin de recevoir ni de saisir un code à usage unique à chaque fois.
  
  
• Si vous avez un iPhone ancien ou que vous utilisez rarement les services Google, les Google Passkeys peuvent ne pas vous convenir.
• Vous ne pourrez pas créer ni utiliser une clé d’accès sur votre appareil.
• Vous devrez continuer à utiliser des mots de passe ou d’autres méthodes d’authentification pour les autres sites et services.
  
  
• Si, dans un cadre le plus souvent professionnel, vous avez déjà une clé électronique d’authentification physique et que vous utilisez souvent des sites sensibles, comme votre banque ou vos impôts, la vérification en deux étapes (2FA) peut vous convenir.
• Vous pourrez vous connecter à ces sites avec un mot de passe et une clé électronique, qui vous protégeront contre le phishing ou le piratage.
• Vous n’aurez pas besoin de faire confiance à Google ni à votre appareil.
  
  
• Si vous n’avez pas de clé électronique d’authentification physique et que vous utilisez peu de sites sensibles, la vérification en deux étapes (2FA) peut ne pas vous convenir.
• Vous devrez recevoir et saisir un code à usage unique par SMS, e-mail ou appel vocal, ce qui peut être fastidieux ou peu fiable.
• Vous serez également vulnérable aux techniques d’interception ou de détournement du code.

En conclusion, le choix entre les Google Passkeys et la vérification en deux étapes (2FA) dépend de vos préférences, de vos habitudes et de vos besoins.

Il n’existe pas de méthode universelle ni parfaite pour s’authentifier en ligne.
Il faut donc peser le pour et le contre de chaque option, et choisir celle qui vous convient le mieux.

Les Google Passkeys sont-elles faites pour vous ?

Les Google Passkeys sont une innovation intéressante qui vise à simplifier et à sécuriser l’authentification en ligne.

Elles offrent une alternative aux mots de passe, qui sont souvent source de frustration et de vulnérabilité. 

Elles présentent plusieurs avantages, comme la simplicité, la sécurité et la praticité.

Elles comportent aussi quelques inconvénients et limites, comme la compatibilité, la fiabilité et la confiance.

Pour savoir si les Google Passkeys sont faites pour vous, vous pouvez vous poser les questions suivantes :

• Avez-vous un appareil compatible avec la technologie Google ?
• Utilisez-vous principalement les services Google ?
• Privilégiez-vous la simplicité et la praticité ?
• Acceptez-vous de faire confiance à Google ?

Si vous répondez oui à ces questions, alors les Google Passkeys peuvent être une bonne option pour vous.

Si vous répondez non à ces questions, alors les Google Passkeys peuvent ne pas être adaptées à vos besoins. 

• Vous pouvez continuer à utiliser des mots de passe ou d’autres méthodes d’authentification. 
• Vous pouvez également attendre que d’autres solutions basées sur le protocole FIDO2 se développent et se généralisent.

Quelle que soit votre décision, n’oubliez pas que l’authentification sans mot de passe est l’avenir du web. 

Il est donc important de vous informer et de vous préparer à cette évolution. 

Les Google Passkeys sont une opportunité pour découvrir cette nouvelle forme d’authentification et pour vous libérer des mots de passe.

En cas de perte ou de vol de votre smartphone : révoquer vos clés d’accès Google

Étape 1 : Sécurisez votre appareil égaré (aide Google)

1. Ouvrez un navigateur, comme Chrome
2. Accédez à votre compte Google
3. Dans la section “Sécurité”, recherchez "Vos appareils"
4. Sélectionnez Gérer les appareils1.
5. Sélectionnez l’appareil égaré (téléphone, tablette ou Chromebook).
6. À côté de “Accès au compte”, sélectionnez Déconnexion.
7. Suivez les instructions à l’écran pour supprimer l’accès à votre compte Google et aux applications connectées sur votre appareil.

Étape 2 : Changez le mot de passe de votre compte Google

1. Ouvrez un navigateur, comme Chrome.
2. Accédez à votre compte Google.
3. Dans la section “Sécurité”, recherchez "Vos appareils".
4. Sélectionnez Gérer les appareils.
5. Sélectionnez l’appareil égaré (téléphone, tablette ou Chromebook).
6. Changez le mot de passe de votre compte Google.

Étape 3 : Supprimez la clé perdue de votre compte (aide Google)

1. Connectez-vous à votre compte Google avec votre mot de passe et votre deuxième étape.
2. Suivez les étapes pour supprimer la clé perdue de votre compte.

Étape 4 : Obtenez une nouvelle clé de sécurité

1. Procurez-vous une nouvelle clé de sécurité.
2. Ajoutez la nouvelle clé à votre compte

Comment se préparer à l’avenir de l’authentification sans mot de passe ?

Les Google Passkeys sont une innovation récente qui vise à simplifier et à sécuriser l’authentification en ligne. 

Elles offrent une alternative aux mots de passe, qui sont souvent source de frustration et de vulnérabilité. 

Cependant, elles ne sont pas encore universelles et nécessitent un certain niveau de confiance envers Google. 

Si vous souhaitez essayer cette fonctionnalité, vous pouvez l’activer sur votre compte Google et créer votre clé d’accès sur votre appareil préféré. 

Vous pourrez ainsi profiter d’une expérience plus fluide et plus sûre sur les services Google.

Mais ce n’est qu’un début. 

Les Google Passkeys font partie d’un mouvement plus large visant à généraliser l’authentification sans mot de passe sur le web. 

D’autres acteurs majeurs, comme Apple, Microsoft ou Facebook, travaillent également sur des solutions basées sur le protocole FIDO2. 

A terme, l’objectif est que les utilisateurs puissent se connecter à n’importe quel site ou service en utilisant leur appareil comme clé d’accès, sans avoir besoin de créer ni de gérer des mots de passe. 

Cela implique une collaboration entre les différents acteurs du web, qui doivent adopter les standards de l’Alliance FIDO et les intégrer à leurs offres. 

Cela implique aussi une sensibilisation des utilisateurs, qui doivent être informés des avantages et des modalités de cette nouvelle forme d’authentification.

En attendant que cette vision se concrétise, il est recommandé de continuer à utiliser des mots de passe forts et uniques pour chaque site ou service que vous utilisez.

Vous pouvez également utiliser un gestionnaire de mots de passe pour stocker et générer vos mots de passe. 

Et vous pouvez activer la vérification en deux étapes (2FA) pour renforcer la sécurité de vos comptes. 

Ces bonnes pratiques vous permettront de protéger vos données en ligne, tout en profitant des bénéfices des Google Passkeys sur les services compatibles.

L'avenir est de se libérer des mots de passe 

Les mots de passe sont un mal nécessaire pour accéder à vos comptes et vos données en ligne. 

Mais ils sont aussi une source de stress, de perte de temps et de risques pour votre sécurité.

 Heureusement, il existe une solution pour vous libérer des mots de passe : les Google Passkeys. 

Elles sont le signe d’une évolution majeure de l’authentification sur le web, qui vise à rendre l’accès aux sites et services plus fluide et plus sûr.

Si vous êtes intéressé par les Google Passkeys, vous pouvez les activer dès maintenant sur votre compte Google et créer votre clé d’accès sur votre appareil préféré. 

Vous pourrez ainsi accéder à tous les services Google sans mot de passe. 

Vous pourrez également partager votre clé d’accès avec d’autres appareils via iCloud ou certains gestionnaires de mots de passe.

Si vous n’êtes pas convaincu par les Google Passkeys, vous pouvez continuer à utiliser des mots de passe ou d’autres méthodes d’authentification. 

Vous pouvez également attendre que d’autres solutions basées sur le protocole FIDO2 se développent et se généralisent. 

Mais n’oubliez pas que l’authentification sans mot de passe est l’avenir du web. 

Il est donc important de vous informer et de vous préparer à cette évolution.

Quelle que soit votre décision, nous espérons que cet article vous a plu et vous a été utile. 

Si vous avez des questions ou des commentaires, n’hésitez pas à nous les faire savoir. 

Nous sommes toujours heureux de discuter avec vous;

"pierre.rene654@gmail.com"

Ne ratez pas mes informations et mes conseils en vous abonnant à la lettre d'information.
Vous recevrez le PDF "Soyez performant et à l'aise avec votre smartphone en 7 mesures"