Aller au-delà des mots de passe arrivera plus tôt grâce à Apple

J’ai soutenu pendant des années qu’aller au-delà des mots de passe est quelque chose qui doit se produire de toute urgence du point de vue de la sécurité et de la convivialité.

Le cadre technique permettant d’abandonner les mots de passe – WebAuthn – a été convenu en 2018 et Apple a ajouté sa prise en charge dans Safari l’année dernière. L’adoption est encore proche de zéro, mais tout cela semble devoir changer, grâce à la dernière initiative d’Apple…

Quels sont les problèmes avec les mots de passe ?

Où commençons nous?

Premièrement, les non-techniciens réutilisent fréquemment les mots de passe sur les sites Web, ce qui signifie que leur sécurité n’est aussi bonne que celle du service le moins sécurisé qu’ils utilisent. Dès qu’un site Web est compromis et que les informations de connexion sont obtenues, la première chose que font les pirates informatiques est de saisir la base de données et de déclencher ces connexions sur tous les sites et services les plus populaires, de Facebook aux banques en ligne. Ainsi, une violation d’un seul site peut signifier que les comptes des personnes sont bloqués sur un grand nombre de sites.

L’authentification à deux facteurs est utile, mais la plupart des gens ne l’utiliseront que si elle est obligatoire, et très souvent, les codes à usage unique sont envoyés par SMS, ce qui est en soi un système très peu sûr pour des raisons techniques et humaines.

Deuxièmement, le phishing est un énorme problème. Les pirates envoient des e-mails prétendant provenir d’un site Web particulier, invitant les gens à se connecter à ce qui est parfois une réplique extrêmement convaincante du site réel. L’urgence est créée avec une gamme de stratagèmes, des fausses transactions qui doivent être annulées pour éviter des frais, aux affirmations selon lesquelles les personnes sont sur le point de se voir refuser leur courrier électronique à moins qu’elles n’agissent. Les identifiants Apple sont une cible de phishing très populaire car ils sont si précieux sur le dark web.

Troisièmement, les mots de passe ne sont pas géniaux, même pour les techniciens avertis en matière de sécurité. Quiconque utilise un gestionnaire de mots de passe pour garantir des connexions uniques et solides a connu la douleur d’un sous-domaine non reconnu ou d’un gestionnaire de mots de passe incapable de déverrouiller un site Web mais pas l’application. Dans ce cas, la connexion peut impliquer l’ouverture de votre gestionnaire de mots de passe, la recherche de la plate-forme et le collage ou la saisie manuelle du mot de passe.

Comment aller au-delà des mots de passe est-il possible ?

Actuellement, le moyen le plus courant de se connecter à un site Web, un service ou une application consiste à utiliser un nom d’utilisateur et un mot de passe. Le nom d’utilisateur indique au service qui vous êtes et le mot de passe confirme qu’il s’agit bien de vous. Ce que WebAuthn fait, c’est offrir un moyen alternatif de confirmer votre identité.

À l’heure actuelle, de nombreuses applications vous permettent de vous connecter avec Face ID ou Touch ID, mais ce n’est qu’une méthode de connexion secondaire à votre mot de passe. WebAuthn permet à votre appareil de remplacer un mot de passe.

Pensez à effectuer une transaction Apple Pay. Le terminal de paiement demande deux choses : un numéro de carte (virtuel) et la preuve que vous êtes le titulaire de la carte. Votre appareil Apple fournit les deux choses, sans l’intervention d’un mot de passe.

Supposons que vous utilisez un iPhone avec Face ID. L’iPhone dit au terminal de paiement : « Voici le numéro de la carte, et vous n’avez pas besoin de vous embêter à demander un code PIN ou une signature car j’ai vérifié l’identité du titulaire de la carte via Face ID. » Le terminal de paiement répond : « Oh oui, je vois que la banque et le titulaire de la carte ont enregistré cette carte dans Apple Pay, et je comprends que vous avez utilisé Face ID pour confirmer l’autorisation du titulaire de la carte pour cette transaction, donc tout va bien. , Merci. »

Essentiellement, le terminal de paiement fait confiance à la biométrie de votre appareil Apple pour effectuer la partie « confirmer qu’il s’agit bien de vous », donc aucun mot de passe n’est nécessaire. (Apple Watch fonctionne légèrement différemment, en ce sens qu’un code d’accès a été utilisé pour confirmer votre identité lorsque vous mettez la montre, et l’appareil confirme au terminal de paiement qu’il est depuis en permanence sur votre poignet.)

WebAuthn adopte exactement la même approche avec les sites Web et les applications. Il délègue le contrôle d’identité à votre appareil Apple, sur la base que l’appareil a confirmé que l’authentification biométrique a réussi.

Apple vient d’autoriser les développeurs à commencer à tester l’utilisation de WebAuthn sur les appareils Apple.

Pourquoi la décision d’Apple est-elle si importante ?

Deux raisons. Premièrement, les développeurs détestent les mots de passe autant que n’importe lequel d’entre nous. Stocker une base de données de mots de passe est un risque pour eux, car cela ouvre la possibilité à un pirate de la cibler, et ils doivent mettre en place des systèmes sécurisés de récupération de mots de passe pour les utilisateurs qui oublient les leurs. Mieux vaut simplement déléguer la tâche de confirmation d’identité à l’appareil de l’utilisateur. Les développeurs sont donc très motivés pour implémenter cela, ce qui crée un élan pour la norme.

Deuxièmement, là où Apple est en tête, d’autres suivent. Apple est rarement la première entreprise à adopter une quelconque nouvelle technologie, mais c’est un vulgarisateur extrêmement influent des nouvelles technologies. Une fois qu’Apple l’a fait, les utilisateurs savent que c’est sûr, et cela crée une demande pour que d’autres entreprises l’implémentent.

Donc, Apple poussera cela maintenant accélérera considérablement l’adoption de WebAuthn – et accélérera le jour où les mots de passe pourront enfin être retirés depuis longtemps.

FTC : Nous utilisons des liens d’affiliation automatique qui génèrent des revenus. Suite.

Découvrez . sur YouTube pour plus d’actualités Apple :

Share