Google apporte des clés de passe à Android et à Google Chrome, conformément aux normes FIDO. Découvrez ce que cela signifie ici !
Les mots de passe, bien que pratiques, sont intrinsèquement défectueux dans la façon dont ils peuvent être abusés. Si quelqu'un obtient votre mot de passe, un facteur d'authentification unique, il peut souvent accéder à vos comptes en ligne. C'est pourquoi nous avons des goûts d'authentification à deux facteurs, qui combine quelque chose que vous savez avec quelque chose que vous avez, comme votre smartphone. Cependant, si vous utilisez quelque chose comme un code SMS, quelqu'un pourrait, en théorie, usurper votre numéro de téléphone et prendre ce code. Ce n'est pas totalement sécurisé et il existe plusieurs points d'entrée potentiels pour un attaquant potentiel. C'est pourquoi les clés de sécurité, que Google a annoncé apporter à la fois à Android et à Google Chrome, sont importantes.
Plus tôt cette année, Apple, Google et Microsoft ont annoncé qu'ils adopteront la norme FIDO pour les clés d'accès sur toutes les principales plates-formes d'ici l'année prochaine. Cela rendrait les connexions sans mot de passe plus courantes sur Internet. Son fonctionnement est simple: sur Android, il transforme votre smartphone en un mot de passe qui peut être utilisé pour se connecter à un site Web. Ces mots de passe sont ensuite synchronisés via Google Password Manager pour un accès facile sur vos appareils et sur votre ordinateur également. Bien qu'il commencera uniquement par la prise en charge des sites Web, l'idée est que les développeurs pourront l'implémenter dans leurs applications, et prennent même en charge les mots de passe qui ont peut-être déjà été utilisés pour se connecter au même service dans l'utilisateur navigateur.
Au cas où vous vous inquiétez du verrouillage de l'écosystème, Google a assuré aux utilisateurs que ce ne sera pas le cas car ils sont construits sur les normes de l'industrie. Les clés de sécurité sont indépendantes de la plate-forme, ce qui signifie que vous pouvez même vous connecter à des services prenant en charge les clés de sécurité à l'aide d'un Mac exécutant Safari. Il vous sera présenté un code QR que vous scannerez sur votre smartphone Android. La même chose fonctionnera inversement avec une clé d'accès stockée sur un iPhone pour se connecter aux services de Google Chrome.
Les clés d'accès font en sorte que sans la clé stockée dans votre compte ou sur votre téléphone, personne ne puisse se connecter à aucun de vos comptes en ligne, quels que soient leurs efforts. Il n'y a pas de numéro de téléphone à usurper, rien à voler (à moins qu'ils ne volent votre téléphone et connectez-vous à cela), et aucun mot de passe à déchiffrer. Ils ne pourront tout simplement pas entrer s'ils ne parviennent pas à convaincre le fournisseur de services de leur donner access -- auquel cas, c'était toujours un point d'entrée vulnérable pour le compte que vous utilisiez de toute façon.
Si vous souhaitez l'essayer, les développeurs peuvent s'inscrire au Bêta des services Google Play et utilise Canari chromé, car un déploiement stable est attendu plus tard cette année. L'API WebAuthn peut être implémentée sur des sites Web pour assurer la compatibilité avec les clés de sécurité dans Google Chrome, Android et d'autres plates-formes. Une API devrait également être publiée plus tard cette année pour les applications Android natives.
Source: Google