Les clés d'accès sont utiles, mais elles ne supprimeront pas les mots de passe

Il semble que les clés d'accès soient la nouvelle technologie de sécurité dont tout le monde parle. Cette nouvelle technologie sans mot de passe est facile à utiliser, rapide et, surtout, sécurisée. Pourtant, je ne pense pas qu'elles vont complètement faire disparaître les mots de passe, et je ne suis pas le seul.

Qu'est-ce qu'un mot de passe ?

Les clés d'accès sont un peu compliquées à comprendre, mais en gros, elles remplacent les mots de passe par une sorte de système d'appel et de réponse. Normalement, lorsque vous créez un compte auprès d'un service, vous créez également un ensemble d'informations d'identification auprès du service, composé de votre nom d'utilisateur (ou de votre adresse e-mail) et d'un mot de passe.

Les clés d'accès permettent de mettre fin à ce problème. À la place, vos identifiants sont un petit morceau de code, appelé clé, d'où le mot de passe. Cette clé est divisée en deux parties, l'une étant détenue par vous (ou plutôt par votre gestionnaire de mots de passe) et l'autre par le site. Désormais, lorsque vous essayez d'accéder au site, au lieu de vous demander vos identifiants, il vous demandera votre moitié de la clé. Si vous l'avez, vous obtenez l'accès.

La technologie derrière les clés d'accès peut être assez complexe et n'est pas aussi simple que décrit, mais le point le plus important à retenir est le suivant : rien de tout cela n'implique une quelconque action de votre part, tout est géré pour vous par un logiciel. Cela rend les clés d'accès ce que les gens de la Silicon Valley aiment appeler « transparentes » et a donné lieu à de nombreuses promesses fantaisistes d'un avenir sans mot de passe.

Ce qui est génial avec les clés d'accès

Tout cela semble bien, mais cela m'a laissé avec le sentiment tenace que se débarrasser complètement des mots de passe peut être beaucoup plus compliqué qu'on ne le prétend. J'ai parlé avec deux experts en mots de passe et, bien que tous deux soient très enthousiastes à propos des clés d'accès, aucun des deux ne nie qu'il y ait des limites à ce qu'elles peuvent faire.

Commençons d'abord par examiner de plus près les points positifs. Anders Åberg, directeur de Passwordless chez Bitwardenun gestionnaire de mots de passe de premier plan, considère l’authentification comme un délai avant d’arriver à destination. Selon lui, « les clés d’accès éliminent les frictions » et créent ainsi une bien meilleure expérience utilisateur, ce que le service fait bien, comme vous pouvez le lire dans mon avis sur Bitwarden.

Mais les avantages des clés d'accès vont bien au-delà de leur côté pratique. Åberg résume plusieurs avantages en matière de sécurité qui ne sont pas toujours mentionnés. Par exemple, avec les clés d'accès, le service ne risque pas de perdre ses mots de passe, ce qui signifie que des violations massives comme celle récente de Dropbox Sign ne sont plus possibles. Les clés d'accès sont également très résistantes au phishing, ce qui garantit que les faux sites ne pourront pas tromper les utilisateurs en leur faisant utiliser leurs identifiants ; la liste est longue.

Les limites des clés d'accès

Cependant, même un partisan aussi enthousiaste que Åberg admettra volontiers que les clés d'accès ne signifieront pas la fin des mots de passe. D'une part, vous devrez toujours avoir une sorte de mot de passe pour accéder au coffre-fort dans lequel vous conservez vos clés d'accès.

Selon les mots de Pete Membrey, directeur de l'ingénierie chez ExpressVPNy compris son gestionnaire de mots de passe Keys, c'est parce que « vous devez toujours faire confiance à quelque chose ». Peu importe l'efficacité de vos clés d'accès (ou de tout autre système de sécurité), il y aura toujours un point d'accès vulnérable. Il n'y a aucun moyen d'être complètement sécuriser et avoir toujours accès.

En plus de cela, Membrey voit également des raisons plus pratiques pour lesquelles les mots de passe ne sont pas près de disparaître : si les clés d'accès représentent peut-être l'avenir, le passé ne disparaît pas pour autant. De nombreux services essentiels comme les banques utilisent encore des mesures de sécurité classiques comme les codes PIN, sans parler des mots de passe. Le remplacement de ces derniers par des clés d'accès n'est pas pour demain.

Ce sentiment est repris par Åberg, qui affirme que « même s'il est difficile de changer notre façon de faire les choses, beaucoup d'entre nous sont tellement habitués aux mots de passe que nous ne pouvons tout simplement pas sortir de notre zone de confort ». Pourtant, dit-il, une fois que les gens ont expérimenté les avantages et la commodité, il n'y a pas de retour en arrière.

La mort des mots de passe ?

Cela dit, et malgré la puissance des clés d'accès, nous ne nous débarrasserons probablement jamais complètement des mots de passe, même si ce n'est que pour sécuriser le compte sur lequel nos clés d'accès sont conservées. En même temps, les avantages des clés d'accès, tant en termes de sécurité que de facilité d'utilisation, ne peuvent être surestimés. Les mots de passe ne sont peut-être pas morts, mais cela ne signifie pas non plus que nous devrions les enterrer.