1Password veut que vous abandonniez les mots de passe. Le remplacement pourrait tout changer

Dire que les mots de passe présentent un risque pour la sécurité et que la plupart d’entre nous en utilisent des qui sont beaucoup trop faibles n’est pas très révélateur. Bien que nous ayons tendance à le reconnaître à contrecœur, il est à la fois difficile et fastidieux de mettre les choses en ordre – parcourir vos comptes et changer chaque mot de passe pour quelque chose d’unique et mémorable. Nous utilisons une solution moche pour un problème critique.

Récemment, cependant, il y a eu des rumeurs d’une meilleure alternative, celle qui s’est discrètement glissée sous le radar. Si vous avez regardé l’émission WWDC d’Apple l’année dernière, vous aurez vu Craig Federighi et ses amis parler des mots de passe et de la manière dont ils remplacent les mots de passe, non seulement plus sécurisés, mais également plus faciles à utiliser. Mais que sont exactement les clés de sécurité et comment les utilisez-vous ?

Pour le savoir, nous avons rencontré Jeff Shiner et Steve Won, respectivement PDG et chef de produit de 1Password, pour savoir comment le populaire gestionnaire de mots de passe implémente les mots de passe et pourquoi il pense qu’ils vous aideront bientôt à sécuriser vos connexions sans même avoir à le faire. Pensez-y.

Qu’est-ce qu’un passe-partout ?

Une personne tient son iPhone et déverrouille son compte 1Password en utilisant Face ID. En arrière-plan, un ordinateur portable.

(Crédit image : AgileBits)

En termes simples, un mot de passe vous permet de vous connecter sans mot de passe. Cela peut sembler peu sûr au début, mais nous ne parlons pas simplement de laisser la porte d’entrée déverrouillée. Au lieu de cela, vous pouvez utiliser vos propres informations biométriques au lieu d’un mot de passe. Vous savez quand vous déverrouillez votre iPhone 14 Pro ou confirmez un achat avec Face ID ou Touch ID ? Une clé d’accès peut exploiter cette sécurité biométrique et cette commodité pour vous connecter à vos applications et à vos comptes en ligne. Par nature, les clés d’accès sont à la fois rapides et sécurisées.

Au lieu d’avoir à mémoriser un ensemble compliqué de mots de passe uniques et difficiles à déchiffrer pour les centaines de comptes que vous utilisez, il vous suffit de vous connecter avec votre visage ou votre empreinte digitale. Non seulement vous évitez le risque de réutiliser les mots de passe pour différents sites Web, mais seules vos propres données biométriques seront acceptées pour la connexion. Il n’y a rien à hameçonner et rien à fuir.

Cela pourrait changer la donne. Comme le dit Shiner, « L’une des choses qui nous passionne, c’est que je pense que nous allons commencer à voir en 2023 les clés d’accès décoller vraiment. » Il poursuit: «Je pense que lorsque nous examinons la situation des clés de sécurité, certaines des versions que nous avons vues sur d’autres plates-formes et, évidemment, ce que nous faisons nous-mêmes, 2023 sera une année où les clés de sécurité commencer à décoller.

Clé d’accès bêta de 1Password

Pour que cela se produise, 1Password commencera à prendre en charge les clés de passe dans une version bêta ouverte vers le début de l’été, mais nous avons eu un accès anticipé pendant quelques semaines.

Il y a toujours la psychologie humaine de l’homme, c’était un peu trop facile. Êtes-vous sûr que c’est sécurisé ?
Steve Won, chef de produit

La version bêta du mot de passe de 1Password est extrêmement facile à utiliser – créer un mot de passe sur un site Web compatible implique essentiellement de cliquer sur « créer un mot de passe », sans avoir besoin d’imaginer un mot de passe compliqué à tout moment. Ensuite, lors de votre prochaine connexion, vous serez invité à fournir vos informations biométriques et 1Password remplira le mot de passe pour vous. Rien de plus simple.

Au moment de la rédaction de cet article, environ 50 sites Web prennent en charge les clés d’accès, notamment Google, eBay et Best Buy, et 1Password a créé un site Web pratique sur passkeys.directory pour vous permettre de voir quels sites sont compatibles. Vous pouvez également voter pour tous les sites pour lesquels vous souhaitez implémenter des clés de passe.

Le processus est si simple qu’il semble presque trop simple, et c’est quelque chose dont 1Password est conscient. Comme le dit Won, « il y a encore la psychologie humaine de l’homme, c’était un peu trop facile. Êtes-vous sûr que c’est sécurisé ?’ » Mais 1Password a acquis une réputation digne de confiance, dit Won, et cela peut aider les gens à utiliser des mots de passe. En outre, nous sommes si nombreux à utiliser Face ID ou Touch ID tous les jours en sachant qu’ils sont en sécurité, ce qui pourrait aider à réduire les frictions.

Suppression de la récompense des hameçonneurs

Une personne tient son téléphone alors qu'elle est assise à un bureau avec un ordinateur de bureau dessus.

(Crédit image : AgileBits)

Il est assez facile de se souvenir, disons, de cinq mots de passe différents. Mais de nos jours, nous avons tous bien plus de comptes que cela. Won se souvient que lorsqu’il a commencé à travailler pour 1Password il y a plus de dix ans, il avait un peu moins de 100 éléments enregistrés dans son gestionnaire de mots de passe. « Maintenant, si je l’ouvre, j’ai environ 890 articles », dit-il.

Se souvenir que de nombreux mots de passe uniques n’est tout simplement pas faisable, nous prenons donc des raccourcis et réutilisons les mots de passe. Mais si l’un des sites Web que vous utilisez est piraté et que de mauvais acteurs s’enfuient avec vos informations de connexion, et que vous avez réutilisé ces informations ailleurs, les pirates peuvent soudainement accéder à autant de comptes que vous avez réutilisé le mot de passe.

Avec un mot de passe, il n’y a pas de mot de passe répété à voler. C’est important car, selon les mots de Shiner, « si nous pouvons supprimer les informations d’identification avec quelque chose comme un mot de passe, alors nous supprimons la récompense que les hameçonneurs recherchent ». En d’autres termes, votre risque diminue considérablement.

Le « mégaphone » Apple

Craig Federighi parle des fonctionnalités de sécurité d'Apple à la WWDC en juin 2022.

(Crédit image : Apple)

Shiner et Won semblent tous deux convaincus que 2023 verra un moment décisif pour les clés de sécurité, même si cela pourrait prendre de nombreuses années avant qu’elles ne soient aussi répandues que les mots de passe.

Nous mettons de plus en plus de serrures sophistiquées à nos portes, mais les mauvais acteurs ne font que casser la fenêtre pour entrer.
Steve Won, chef de produit

Cette percée pourrait arriver grâce en partie à l’adoption publique des clés de sécurité par les titans de l’industrie avec une clientèle large et fidèle. Apple, Microsoft et Google ont tous flirté avec les clés de sécurité ou les ont entièrement mises en œuvre, et Shiner dit que si ces grands noms agissent comme un «mégaphone» pour promouvoir les clés de sécurité, ils pourraient faire partie de la vie quotidienne de milliards d’utilisateurs.

Il ne sert à rien que vos clés de sécurité fonctionnent sur votre iPhone mais pas sur votre PC Windows. Pour que les clés de sécurité fonctionnent vraiment, elles doivent être interopérables et extensibles. Tout en insistant sur le fait qu’il n’a aucune connaissance secrète, c’est quelque chose que Won espère qu’Apple annoncera à la WWDC en juin. Si cela se produit, cela pourrait signifier que la fonctionnalité s’ouvre « étape par étape pour que des tiers puissent s’y intégrer ».

Avec la WWDC 2023 qui approche à grands pas, le tournant pourrait être presque sur nous. Avec lui, nous pourrions enfin voir le début de la fin pour les mots de passe vulnérables. Comme le dit Won, les clés d’accès pourraient nous aider à dépasser un monde « où nous mettons de plus en plus de serrures sophistiquées à nos portes, mais les mauvais acteurs ne font que casser la fenêtre pour entrer ».