Le protocole FIDO2 stocke la clé d'authentification uniquement sur l'appareil de l'utilisateur dans des conditions hors ligne. Il est donc beaucoup plus sécurisé, fiable et plus facile à utiliser.
Mise à jour 2 (13/08/19 à 9 h 50 HE) : Google déploie l'authentification sans mot de passe FIDO2 pour les comptes Google sur les appareils Android.
Mise à jour 1 (7/05/19 à 13 h 31 HE) : Google a annoncé la disponibilité générale de cette nouvelle fonctionnalité, vous permettant d'utiliser votre téléphone comme clé de sécurité pour une authentification en deux étapes.
Vivre dans un monde sans mot de passe est l’avenir dont rêvent de nombreux passionnés de technologie. Il n’y a pas d’ETA ni de barre de progression concernant le pic d’avancement de cette technologie, mais son arrivée est inévitable. Les mots de passe sont datés, facilement oubliables et très souvent peu sécurisés, même si vous prenez des mesures supplémentaires comme l'authentification à 2 facteurs. Comme dans de nombreuses grandes tendances à venir, Google joue également un rôle dans celle-ci. Cela ne devrait pas être surprenant, étant donné que cette société possède le système d'exploitation mobile, le navigateur Web et le moteur de recherche les plus populaires. Google travaille au développement de cette technologie avec des partenaires comme Microsoft et d'autres géants de la technologie depuis quelques années. Hier, la société a fait un autre grand pas vers la fonctionnalité sans mot de passe.
L'Alliance FIDO annoncé hier, lors du Mobile World Congress, Android est désormais certifié FIDO2. Si vous n'en avez jamais entendu parler, la FIDO Alliance est une association qui travaille et définit les normes d'authentification sans mot de passe. Certains des membres de l'alliance sont Google, Facebook, GitHub, Dropbox, eBay et bien d'autres. Aux côtés de partenaires du monde entier, FIDO Alliance travaille depuis quelques années sur la certification FIDO2.
Outre les améliorations évidentes en termes de commodité et de convivialité par rapport aux mots de passe datés habituels, le protocole FIDO2 offre également une bien meilleure sécurité. Vous voyez, traditionnellement, l'authentification par mot de passe fonctionnait comme ceci: l'utilisateur et le service avaient une clé secrète stockée sur le serveur et l'appareil. Pendant le processus d'authentification, l'utilisateur envoie le mot de passe au serveur, où il est crypté et comparé à la clé stockée. Si les clés correspondent, l'utilisateur a accès à son compte/contenu. Or, cette méthode présente un gros défaut: les clés d’authentification sont stockées dans deux emplacements différents, ce qui les rend 2 fois plus vulnérables aux attaques. Il existe certes des méthodes, comme le chiffrement de bout en bout, pour les empêcher, mais les pirates informatiques trouvent toujours de nouvelles façons d'exploiter ces failles évidentes.
Le protocole FIDO2 stocke la clé d'authentification uniquement sur l'appareil de l'utilisateur dans des conditions hors ligne. Il est donc beaucoup plus sécurisé, fiable et plus facile à utiliser. La certification FIDO2 est désormais disponible sur tous les appareils mobiles fonctionnant sous Android 7.0 Nougat ou version ultérieure. Les développeurs d'applications mobiles et Web peuvent déjà utiliser les API pour implémenter la fonctionnalité dans leurs propres services.
Mise à jour 2: comptes Google
Google a commencé à déployer l'authentification sans mot de passe FIDO2 pour les comptes Google sur les appareils Android 7+, à partir d'aujourd'hui avec les appareils Pixel. Les utilisateurs peuvent utiliser leur méthode d'empreinte digitale ou de verrouillage d'écran au lieu de saisir leur mot de passe lorsqu'ils visitent certains services Google. Cela signifie qu'un utilisateur peut enregistrer son doigt une fois et l'utiliser pour une multitude de services natifs et Web. L'empreinte digitale n'est jamais envoyée aux serveurs de Google.
Pour l'essayer dès maintenant, rendez-vous sur mots de passe.google.com, choisissez un site pour afficher ou gérer un mot de passe enregistré et suivez les instructions pour confirmer votre identité.
Source: Google