Les clés d’accès expliquées : 7 mythes sur les clés d’accès déconstruits par le responsable de l’innovation de Dashlane
Les clés d'accès vont inéluctablement révolutionner la manière dont nous accédons à nos comptes en ligne, à la maison comme au travail. Pour vous aider à savoir à quoi vous en tenir et à garder une longueur d'avance, nous sommes de retour avec le quatrième article de notre série sur les clés d'accès. Avant de poursuivre, lisez nos trois derniers articles pour savoir ce que sont les clés d'accès, comment les gérer et leur impact sur la double authentification et la MFA.
Il existe de nombreux mythes sur la sécurité et l'utilisation des clés d'accès, y compris l'idée que perdre votre téléphone signifie que vous perdez toutes vos clés d'accès ou que les fournisseurs utilisent des clés d'accès pour forcer les utilisateurs à rester sur leurs plates-formes. Jetons un coup d'œil à quelques mythes courants afin que vous puissiez prendre des décisions plus éclairées sur votre utilisation personnelle et professionnelle des clés d'accès.
Mythe n°1 : si vous perdez votre téléphone, vous ne pouvez pas accéder à vos clés d'accès
Les clés d'accès se synchronisent généralement entre les appareils, de sorte que perdre votre appareil ne signifie pas perdre vos clés d'accès. Par exemple, si vous utilisez un iPhone et enregistrez des clés d'accès avec l'application Mots de passe Apple, vous récupérerez l'accès à vos clés d'accès une fois que vous vous connecterez à un autre appareil Apple avec votre compte Apple.
Il en va de même pour Dashlane et les autres gestionnaires de mots de passe. Dès que vous accédez au compte de gestionnaire de mots de passe sur un autre appareil, vos clés d'accès seront accessibles sur cet appareil.
Mythe n°2 : seuls Google et Apple synchronisent actuellement les clés d'accès
Les fournisseurs de clés d'accès tiers comme Dashlane utilisent leur propre infrastructure cloud pour la synchronisation, tout comme Google et Apple.
Lors de Authenticate en octobre 2024, Microsoft a annoncé que les clés d'accès synchronisées seraient bientôt disponibles sur Windows 11 et associées aux comptes Microsoft. Bien qu'il reste à savoir si ces clés d'accès seront accessibles sur les plates-formes autres que Microsoft, Google a récemment indiqué que les clés d'accès synchronisées dans le gestionnaire de mots de passe Google seront bientôt disponibles sur macOS et Windows.
Mythe n°3 : les clés d'accès envoient vos informations biométriques via le Web
Toutes les méthodes de vérification utilisées avec les clés d'accès (données biométriques, codes PIN, verrous d'écran ou mots de passe) fonctionnent uniquement sur votre appareil pour déverrouiller la clé d'accès. Par exemple, si vous utilisez Face ID sur un iPhone, cela déverrouille la clé d'accès localement. Aucune information biométrique n'est envoyée au site Web, mais seulement une confirmation que la vérification a réussi.
Mythe n°4 : vous pouvez modifier votre mot de passe, mais vous ne pouvez pas modifier une clé d'accès
Une publication récente du NIST (SP 800-36-B) décourage la modification des mots de passe à moins que le mot de passe n'ait été compromis. Les mots de passe sont facilement compromis par des attaques de phishing, des failles de serveur ou simplement lorsque les utilisateurs choisissent un mot de passe faible ou déjà compromis. Une clé d'accès est toujours forte et unique et ne peut pas être phishée, il y a donc très rarement des raisons de modifier les clés d'accès.
Cependant, vous pouvez modifier les clés d'accès simplement en les supprimant du site Web sur lequel elles sont configurées et en créant une nouvelle. En effet, chaque nouvelle clé d'accès est unique, même lorsque plusieurs clés d'accès sont configurées pour le même site Web.
Découvrez en exclusivité les 20 marques et services pionniers en matière d'adoption des clés d'accès.
Mythe n°5 : les codes PIN ne sont pas aussi sécurisés que les mots de passe
Les clés d'accès peuvent être déverrouillées avec le code PIN d'un appareil, ce qui peut être source de préoccupation pour certains. Les mots de passe sont généralement plus complexes que les codes PIN à 6 chiffres ou à 4 chiffres. Cependant, ce n'est pas le seul facteur à prendre en compte lors de l'évaluation de la sécurité.
Une fois le code PIN d'un appareil configuré, il ne peut être utilisé que sur un appareil spécifique. En ce sens, le code PIN d'un appareil est un facteur de connexion combiné à un facteur de possession.
À la différence de la plupart des mots de passe, les codes PIN intègrent également une limite de tentatives. Cela signifie qu'après un certain nombre d'essais, l'appareil se bloque, ce qui permet d'empêcher le piratage des codes PIN. Cette limitation de l'association et des tentatives d'accès des appareils rend les codes PIN plus sécurisés que les mots de passe. Vous utilisez probablement déjà un code PIN sur votre appareil mobile.
Mythe n°6 : il est préférable d'utiliser un gestionnaire de mots de passe pour vos mots de passe plutôt que d'utiliser des clés d'accès
Les gestionnaires de mots de passe sont excellents pour générer et stocker des mots de passe complexes en toute sécurité, ce qui évite aux utilisateurs d'avoir à les mémoriser. Cependant, les mots de passe peuvent toujours être vulnérables au phishing si un utilisateur est amené à les copier-coller dans un faux site. Bien que les gestionnaires de mots de passe soient utiles, ils ne peuvent pas empêcher complètement le phishing. Les clés d'accès, en revanche, sont résistantes au phishing.
De plus, presque tous les gestionnaires de mots de passe de premier plan prennent en charge les clés d'accès. L'utilisation d'un gestionnaire de mots de passe vous permet de bénéficier à la fois d'un stockage sécurisé de mots de passe et de la protection supplémentaire des clés d'accès.
Mythe n°7 : les clés d'accès sont un moyen pour les fournisseurs d'obliger les utilisateurs à rester sur leurs plates-formes
L'Alliance FIDO a publié de nouvelles normes qui permettront aux gestionnaires de mots de passe d'exporter des mots de passe et des clés d'accès en toute sécurité et facilement. Jusqu'à présent, cela n'était pas possible, car il n'y avait pas de norme dans le secteur. Chaque gestionnaire de mots de passe avait déterminé son propre format et exportait des fichiers CSV en texte clair pour permettre la portabilité des données.
Ainsi, même s'il n'a pas souvent été possible d'exporter les clés d'accès, les gestionnaires de mots de passe mettront bientôt en œuvre la nouvelle norme FIDO pour l'échange d'identifiants. En réalité, la plupart des fournisseurs de premier plan se sont engagés dans cette voie.
Malgré les nombreux mythes sur cette technologie émergente, les clés d'accès sont de plus en plus courantes. Les authentifications par clé d'accès chez les utilisateurs de Dashlane ont atteint plus de 500 000 par mois, soit 6 fois plus que l'année dernière. Les clés d'accès sont l'avenir de l'authentification, et cet avenir se rapproche à grands pas.
Découvrez comment renforcer votre sécurité numérique grâce aux clés d'accès.
Inscrivez-vous pour connaître toute l'actualité de Dashlane
