Comme je l’ai déjà dit, les mots de passe sont nuls. Alors, faites des vacances en indemnité, mais pour changer la journée de votre mot de passe (qui arrive plus tard cette semaine le 1er février), c’est une bonne excuse comme n’importe qui pour donner un coup de pied à vos mots de passe au trottoir.
Le but de cette célébration? Mettre à jour vos mots de passe pour être plus sécurisé – comme abandonner enfin Mot de passe12345 (oof) pour Xsmpjai5v @ ntg-7l # Q2F. Ou, si les phrases de passe sont plus votre ambiance, Water-whom-atom-flame-sake5.
Mais diable avec la mise à jour. Aller avec remplacement. Plus précisément, le remplacement de vos mots de passe par deskkeys.
Passkeys ne nécessite pas de mémorisation, peut être stocké directement sur votre téléphone, et sont plus forts que les mots de passe. Un avantage particulier: ils sont résistants au phishing. Séparément, si un site Web est piraté (une réelle possibilité de nos jours), vos informations d’identification ne doivent pas être fissables ni utilisables par personne d’autre.
Lorsque vous créez une touche passante, un public et une clé privée sont générés. (Ceci est connu sous le nom de cryptage public ou asymétrique.) La clé privée est conservée par votre appareil ou le gestionnaire de mots de passe. Les appareils pris en charge comprennent des téléphones, des tablettes, des dongles matériels comme les yubikeys et des PC compatibles. Vous pouvez choisir de stocker Passkeys localement sur votre appareil ou dans le cloud.
Ces clés secrètes sont sécurisées par l’authentification biométrique de votre appareil (par exemple, empreinte digitale ou visage), ou la méthode qui sécurise votre gestionnaire de mots de passe.
Pendant ce temps, la clé publique est partagée avec le site Web pour lequel il est généré. Vous avez besoin de la clé publique et privée pour vous connecter au compte auquel ils sont liés. Chaque fois que vous vous connectez, le site Web demandera la preuve que vous êtes le propriétaire du compte, via les étapes suivantes:
- Une demande est envoyée à votre appareil (ou gestionnaire de mots de passe) pour commencer le processus de vérification.
- Votre empreinte digitale, votre analyse faciale ou une autre méthode d’authentification est requise pour autoriser la demande.
- Si vous approuvez, votre clé privée (AKA Secret Key) est utilisée pour créer une signature numérique, qui est ensuite envoyée sur le site Web.
- Le site Web utilise ensuite la signature numérique pour essayer de crème la clé publique que vous lui avez donnée. En cas de succès, vous y êtes.
Lorsque Passkeys est mis en œuvre correctement, personne ne peut déduire votre clé privée en fonction de la clé publique, ce qui signifie que les fuites de données et les violations ne sont pas aussi dangereuses. (Au moins, en ce qui concerne la santé du mot de passe.) Les Passkeys ne fonctionnent également que pour le site spécifique pour lequel ils ont généré, afin qu’ils ne puissent pas être capturés ou utilisés par de faux sites malveillants, c’est comment les schémas de phishing volent des mots de passe.
La seule vraie ride de Passkeys est que si vous les stockez localement sur un appareil – si vous perdez l’appareil, vous pouvez vous faire verrouiller votre compte. Mais avoir un périphérique de sauvegarde (une tablette ou un téléphone plus ancien) ou un dongle matériel résout facilement le problème. Vous pouvez également utiliser un mot de passe extrêmement sécurisé + l’authentification à deux facteurs comme sauvegarde.
Cette dernière option n’échappe pas pleinement aux mots de passe, mais au moins vous obtenez la plupart du temps pour votre quotidien. Je trouve personnellement la connexion avec une clé passante plus rapidement que les mots de passe, même lorsque vous utilisez un gestionnaire de mots de passe avec automatique.
Vous pouvez cependant commencer avec des services majeurs comme Google, Apple, Microsoft, ainsi que de grands magasins comme Amazon, Target, Best Buy, etc. Et bien que Passkeys ne soit pas encore pris en charge par toutes les applications et sites, même la conversion de vos applications et sites les plus fréquemment consultés, ainsi que de toute information sensible (y compris les informations de facturation), rend déjà la vie en ligne plus sécurisée et pratique.
