Passkeys: connexion sans mot de passe | SwissSign

Naviguer sur SwissID

Une spécialiste de la Poste Suisse pour la sécurité des données
Tobias Bertschi • 01.10.2024

Passkeys: connexion sans mot de passe

Les passkeys rendent non seulement le processus de connexion plus facile pour les utilisateurs, mais assurent également une plus grande sécurité. Comment cette technologie fonctionne-t-elle?

Passkeys: comment fonctionne la connexion sans mot de passe?

Il arrive de plus en plus souvent que vous n’ayez plus besoin de mot de passe pour vous connecter à différents services en ligne. Les passkeys permettent à la fois la connexion et l’authentification de l’utilisateur. Mais comment cette technologie fonctionne-t-elle et est-elle sûre? Voici une vue d’ensemble.

Qu’est-ce qu’une passkey?

Ein Passkey ist ein digitaler Berechtigungsnachweis für Online-Dienste. Er ermöglicht sowohl das Login als auch die Authentifizierung eines Nutzers, ohne ein Passwort und zum Beispiel einen SMS-Code eingeben zu müssen.

Comment fonctionne la connexion avec une passkey?

Pour faire court, si l’utilisateur souhaite se connecter à un service en ligne, son appareil lui propose la passkey enregistrée pour l’authentification. Pour confirmer la demande de connexion, il lui suffit de déverrouiller l’appareil connecté, par exemple à l’aide du capteur d’empreintes digitales ou de la reconnaissance faciale. Cela prouve qu’il a accès à la passkey utilisée.

Passkeys vs mots de passe: la comparaison en chiffres

Taux de réussite des tentatives de connexion

  • Mots de passe: 14%
  • Passkeys: 64%

Durée du processus de connexion

  • Mots de passe: 30 secondes
  • Passkeys: 15 secondes

Source: Making authentication faster than ever: passkeys vs. passwords

Explications: le problème des mots de passe

Les mots de passe constituent également un moyen sûr de se connecter s’ils sont utilisés correctement. Le problème est que les utilisateurs doivent souvent mémoriser un très grand nombre de mots de passe. Conséquence: des mots de passe simples sont définis ou le même mot de passe est utilisé pour accéder à différents services en ligne. Les gestionnaires de mots de passe sont certes utiles, car ils enregistrent les données d’accès et les remplissent automatiquement sur le service en ligne correspondant si vous le souhaitez. Cependant, la demande de connexion doit souvent être confirmée par la suite avec un deuxième facteur. En outre, les mots de passe sont généralement enregistrés sur les serveurs des services en ligne, ce qui en fait une cible de choix pour les pirates.

Passkeys: plus rapides, plus faciles et plus sûres

Les passkeys sont considérées comme une méthode de connexion plus facile et plus sûre que les mots de passe. Mais pourquoi?

La connexion à l’aide d’une passkey est plus facile et plus pratique pour les utilisateurs, car il n’est plus nécessaire d’utiliser un deuxième facteur supplémentaire. Au lieu de cela, ils peuvent s’authentifier à l’aide du capteur d’empreintes digitales, de la reconnaissance faciale ou du code PIN. La clé privée représente donc le premier facteur, et l’empreinte digitale le deuxième par exemple. De plus, les passkeys sont standardisées. Cela signifie qu’elles doivent être configurées une seule fois et qu’elles peuvent ensuite être utilisées sur tous les appareils.

Les passkeys sont également la meilleure alternative en matière de sécurité: au lieu d’un mot de passe, seule une clé publique est stockée sur le serveur. Pour les pirates, il est donc nettement moins intéressant de s’introduire dans de tels serveurs. En outre, les passkeys ne fonctionnent que sur les sites Internet et applications enregistrés. Le navigateur ou le système d’exploitation se charge du contrôle et protège ainsi les utilisateurs contre les attaques de phishing.

Une passkey est une preuve numérique sûre et conviviale qui remplace les mots de passe et les deuxièmes facteurs supplémentaires à l’aide de la cryptographie à clé publique.

Comment fonctionnent exactement les passkeys?

Passkeys basieren auf dem Prinzip der asymmetrischen Verschlüsselung. Auf Ihrem Mobiltelefon wird ein privater Schlüssel gespeichert. Diesen können Sie sich als eine lange, zufällig generierte Zeichenfolge vorstellen. Anders als ein Passwort, wird dieser niemals mit dem verknüpften Online-Dienst geteilt.

Möchten Sie sich nun bei einem Online-Dienst einloggen, wird eine Anmeldeaufforderung an Ihr Gerät geschickt. Dieses signiert die Anforderung mit Ihrem privaten Schlüssel und sendet die Anfrage zur Kontrolle an den Online-Dienst zurück. Der Zugriff auf den privaten Schlüssel ist dabei zum Beispiel mittels Fingerabdruck abgesichert. Mithilfe des öffentlichen Schlüssels prüft der Server danach, ob der richtige private Schlüssel verwendet wurde und bestätigt in diesem Fall die Login-Anfrage.

Die Vorteile von Passkeys zusammengefasst

  • Schutz vor Phishing

  • Minderung von Verletzungen der Datensicherheit

  • Benutzerfreundlicheres Login

Explications: appareil vs cloud

Les passkeys stockées uniquement sur l’appareil ne sont pas synchronisées sur plusieurs appareils et ne peuvent donc être utilisées que sur cet appareil spécifique pour la connexion. Toutefois, si vous les enregistrez dans vos clés cloud, vous pouvez les utiliser sur tous les appareils connectés à votre compte, par exemple Google ou iCloud.

Si vous vous connectez généralement à un service en ligne via votre téléphone portable, vous y avez probablement déjà créé et enregistré votre clé d’identification. Si vous accédez maintenant au même service en ligne sur votre ordinateur, vous pouvez tout de même utiliser votre téléphone mobile pour l’authentification. Dans la plupart des cas, vous recevez une notification push sur votre appareil lorsque vous vous connectez. Confirmez ensuite la demande de connexion au moyen de données biométriques ou d’un code PIN.

Des problèmes peuvent toutefois survenir si vous utilisez des appareils avec différents systèmes d’exploitation. Vous pouvez alors utiliser des gestionnaires de mots de passe de fournisseurs externes de passkeys ou les solutions basées sur le cloud de Google, Apple, etc. et stocker toutes les passkeys en un seul endroit, quel que soit le système d’exploitation.

Conclusion

La saisie de mots de passe appartient au passé! Les passkeys rendent non seulement le processus de connexion plus facile et plus confortable pour les utilisateurs, mais assurent également une plus grande sécurité. La procédure de connexion sans mot de passe est déjà prise en charge par de grands fournisseurs tels qu’Amazon et Google. Dans un avenir proche, de nombreux autres services en ligne viendront certainement s’y ajouter et les passkeys deviendront progressivement la norme pour la connexion.

Vers l'aperçu

Cela pourrait aussi vous intéresser

Adrian Mueller • 21.11.2024

PKI – Qu’est-ce qu’une infrastructure à clés publiques?

Qu’est-ce qu’une PKI? La base des certificats SSL ou encore des signatures numériques – pour la sécurité et l’efficacité numériques dans les entreprises
Cybersécurité Certificats
Torsten Kahlstadt • 17.12.2024

Qu’est-ce que la sécurité intégrale?

Il s’agit d’un concept de sécurité global qui intègre des mesures organisationnelles, personnelles, juridiques et réglementaires, en plus des deux piliers de la sécurité physique et de la sécurité informatique. Nous vous expliquons également comment SwissSign le met en œuvre en tant que Trust Service Provider.
Cybersécurité
SwissSign • 30.08.2024

DV, OV ou EV?

Pour un site Web professionnel, vous avez dans tous les cas besoin d’un certificat SSL. Mais quel niveau de validation choisir: domain validation (DV), organisation validation (OV) ou extended validation (EV)?
Cybersécurité Certificats

SwissSign

Ressources

Connaissances

Support

Une spécialiste de la Poste Suisse pour la sécurité des données

Logo de «La Poste», vous accédez au site de «La Poste».