Depuis quelques mois, j'ai arrêté d'utiliser un mot de passe pour me connecter à mes comptes Google et Microsoft. Désormais, lorsque je dois me connecter, je saisis mon adresse e-mail et, lorsque j'y suis invité, je tape le code PIN de mon PC Windows. Une fois le code PIN correct saisi, je suis connecté sans avoir à saisir un mot de passe long.
Cette inscription sans mot de passe est ce que fournissent les clés d'accès, mais avec une meilleure sécurité que les mots de passe traditionnels, qui peuvent être volés ou hameçonnés, et sont difficiles à mémoriser et à utiliser. J'ai remplacé mes mots de passe par des clés d'accès. Je suis content d'avoir fait ce changement.
Liens rapides
Que sont les clés d’accès et en quoi sont-elles meilleures qu’un mot de passe ?
Comprendre la négociation cryptée
Une clé d'accès est un mot de passe numérique utilisant la cryptographie à clé publique plutôt qu'une chaîne de caractères mémorisée. Lorsque vous créez une clé d'accès pour un site web, votre appareil génère deux clés mathématiquement liées. La clé publique est utilisée pour le service auquel vous vous abonnez, tandis que la clé privée est stockée dans le matériel sécurisé de votre appareil, comme la puce TPM de Windows Hello ou le boîtier sécurisé de votre téléphone.
L'avantage des clés d'accès est qu'elles sont infalsifiables, car elles ne fonctionnent que sur les sites auxquels elles sont liées. Même si vous tombez accidentellement sur un site d'hameçonnage ressemblant à Gmail, votre appareil ne divulguera pas la clé privée, car il sait qu'il ne s'agit pas du véritable compte accounts.google.com. La connexion échouera sans mot de passe ni identifiants d'hameçonnage.
Les clés d'accès résolvent deux problèmes liés à la méthode manuelle. Premièrement, elles vérifient que vous êtes bien sur le site d'origine en vérifiant le domaine avant d'émettre la clé, empêchant ainsi les tentatives d'hameçonnage. Deuxièmement, elles ne révèlent pas de mot de passe réutilisable, mais une signature chiffrée à usage unique qui prouve votre véritable identité.
Les clés d’accès sont sécurisées même si vous perdez votre appareil.
Plusieurs clés pour le même compte
Ce qui déroute beaucoup de gens à propos des clés d'accès, c'est ce qui se passe en cas de perte d'un appareil. Il est important de savoir que la perte d'un téléphone ou d'un ordinateur portable ne vous bloque pas, car chaque appareil stocke sa propre clé d'accès unique pour votre compte. Si vous perdez votre téléphone, vous pouvez toujours vous connecter depuis un autre appareil en utilisant sa clé d'accès, ou consulter le mot de passe de votre compte si nécessaire.
Si quelqu'un vole votre ordinateur portable ou votre téléphone, il ne pourra pas utiliser vos clés d'accès sans d'abord déverrouiller l'appareil grâce à la biométrie ou à votre code PIN. De plus, vous pouvez consulter toutes vos clés d'accès enregistrées dans les paramètres de votre compte et révoquer celles des appareils perdus ou volés.
Lorsque vous recevez un nouvel appareil, vous devez créer une nouvelle clé d'accès pour les comptes qui y sont enregistrés. Connectez-vous avec un autre appareil de confiance ou une méthode de secours, comme votre mot de passe, puis ajoutez la clé d'accès du nouvel appareil.
Comment créer et stocker des mots de passe
Installation sur différentes plateformes
Pour que les clés d'accès fonctionnent sur votre ordinateur Windows, vous devez : Activer Windows Hello. Si vous utilisez déjà un code PIN ou un lecteur d'empreintes digitales pour déverrouiller votre appareil, vous l'avez probablement déjà activé. Sinon, rendez-vous sur Paramètres > Comptes > Options de connexion Configurer un visage ou une empreinte digitale ou Code PIN. Lorsqu'un site web propose de créer un mot de passe, Windows Hello gère automatiquement le stockage.
Pour les appareils Android exécutant la version 9 ou ultérieure, les mots de passe sont enregistrés par défaut dans le Gestionnaire de mots de passe Google. Ils seront synchronisés sur tous les appareils Android connectés au même compte Google. Android 14 prend en charge les gestionnaires de mots de passe tiers pour stocker les mots de passe ; c'est donc une autre option si vous préférez des outils de sécurité dédiés.
Apple le précise encore plus clairement. Sur les appareils iOS et macOS, les clés d'accès sont stockées dans le trousseau iCloud et synchronisées sur tous vos appareils Apple. Vous devez Activez l'authentification à deux facteurs pour votre compte Apple IDLes clés d’accès fonctionnent ensuite de manière transparente de votre iPhone à votre Mac.
Si vous souhaitez une compatibilité multiplateforme, les gestionnaires de mots de passe comme 1Password, Bitwarden et Dashlane prennent désormais en charge les clés d'accès. C'est un excellent moyen de gérer toutes vos clés d'accès, quel que soit l'appareil que vous utilisez.
Personnellement, je préfère une solution native, car j'utilise principalement Windows et Android. Cependant, un gestionnaire de mots de passe est judicieux si vous changez régulièrement d'appareil (Windows, Mac, iPhone et Android).
Créer des clés d'accès
De nombreux sites Web prenant en charge les clés d'accès vous inviteront automatiquement à en créer une juste après vous être connecté avec votre mot de passe.
Si vous ne recevez pas d'invite automatique, vous pouvez en créer une manuellement sur les sites web qui le prennent en charge. Accédez aux paramètres de compte du site web et recherchez la section Sécurité pour trouver les options de mot de passe. Par exemple, pour Configurer une clé d'accès pour votre compte Google, Aller à g.co/passkeys
, Puis appuyez sur Créer une clé d'accès Et complétez les étapes requises.
Où pouvez-vous utiliser des clés d'accès maintenant ?
Vos comptes Google, Microsoft et Apple prennent déjà en charge les clés d’accès.
La plupart des grands sites, dont Google, Microsoft, Apple, Amazon, Adobe et Meta (Facebook et Instagram), prennent en charge les clés d'accès. Je les ai configurées pour mon compte Google Workspace, mon compte Microsoft et même PayPal. Chaque fois que je dois me connecter, je sélectionne une clé d'accès, puis je la vérifie avec mon code PIN.
L'expérience varie légèrement selon les services. Certains, comme Google, vous permettent d'utiliser des mots de passe pour les connexions quotidiennes et même de supprimer votre mot de passe si vous le souhaitez. D'autres exigent toujours la conservation d'un mot de passe de secours. Actuellement, toutes les principales plateformes permettent de définir un mot de passe lors de la création d'un nouveau compte, mais une fois les mots de passe activés, vous aurez rarement besoin de le saisir.
Les mots de passe restent
Les connexions sans mot de passe sont l’avenir.
Bien que de plus en plus de sites adoptent les mots de passe, leur adoption est relativement lente. Cependant, lorsqu'ils sont disponibles, la connexion est simple. Bien sûr, vous aurez toujours besoin d'un mot de passe pour créer de nouveaux comptes, et les mots de passe restent votre solution de secours pour vous connecter depuis des appareils non compatibles ou en cas de problème avec vos mots de passe.
Cela signifie également que les mots de passe ne disparaîtront pas de sitôt. Ils seront toujours là pour la compatibilité, la récupération et tous les services qui n'ont pas encore rattrapé leur retard. Cependant, pour les connexions quotidiennes, la commodité de ne pas avoir à saisir de mot de passe et la protection contre les attaques de phishing justifient le changement.
