Intelligence de données générative

Cyber sécurité

Passkeys voit un nouvel élan avec de nouveaux programmes pilotes

Réédité par Platon
Réédité par Platon

Date :

Vues: 107

Les annonces de nouveaux produits donnent de l'élan aux clés d'accès - des identifiants numériques qui permettent une authentification sans mot de passe à l'aide de clés cryptographiques privées. Cette semaine, Apple et Google, ainsi que les principaux fournisseurs de gestionnaires de mots de passe 1Password et Dashlane, ont encore étendu leur prise en charge des mots de passe.

Apple, le premier à proposer la prise en charge des clés de sécurité sur sa plate-forme iOS l'année dernière, a donné un coup de pouce à ses clés de sécurité cette semaine lors de la conférence mondiale des développeurs (WWDC) de la société. Apple a annoncé une API qui permettra aux clés de sécurité de fonctionner avec des logiciels tiers. L'API est conçue pour la version d'automne d'iOS 17, la mise à jour annuelle de son système d'exploitation mobile, présentée en avant-première à la WWDC.

Apple étend également la prise en charge des clés de passe sur son navigateur Safari sur Mac, iPhone et iPad. La prise en charge étendue du mot de passe apparaîtra dans Le navigateur Safari 17 d'Apple, présenté en avant-première à la WWDC. Une version bêta publique est disponible dès maintenant, avec une version générale prévue pour cet automne.

L'un des avantages des clés de sécurité est qu'elles peuvent accélérer les connexions. Les données que Google publié le mois dernier ont montré que les utilisateurs pouvaient s'authentifier avec des mots de passe en 14.9 secondes en moyenne, soit la moitié des 30.4 secondes nécessaires pour se connecter avec des mots de passe.

Les partisans des clés de sécurité affirment également qu'elles sont plus résistantes aux attaques de phishing que les SMS, les mots de passe à usage unique (OTP) et diverses autres formes de authentification multifacteur (MFA) car chacun a une clé privée et publique unique liée à un appareil spécifique.

De plus, les clés d'accès sont résistantes au phishing car elles reposent sur une identification biométrique, telle que l'identification faciale ou tactile, au lieu de mots de passe. Étant donné que la clé privée ne quitte jamais l'appareil, elle ne peut pas être facilement volée, tandis que les clés publiques résident à la fois sur l'appareil et sur l'application ou le site Web.

L'adoption d'Apple donne une impulsion au marché

L'API de clé de sécurité d'Apple permettra aux développeurs d'intégrer ses clés de sécurité dans des applications tierces, y compris des gestionnaires de mots de passe, pour partager des clés de sécurité. Selon Apple, son l'API de clé de passe prendra en charge Identifiants Apple gérés, permettant la synchronisation à l'aide du trousseau iCloud et des contrôles d'accès pour gérer la manière dont les utilisateurs peuvent synchroniser et partager les clés d'accès.

Notamment, la prise en charge de l'identifiant Apple géré pour iCloud Keychain permettra aux gestionnaires de mots de passe tiers d'entreprises telles que 1Password et Dashlane d'enregistrer et d'échanger des mots de passe iOS, iPadOS et macOS. Les clés d'accès peuvent utiliser la vérification biométrique Autofill, Face ID ou Touch ID de l'entreprise sur les appareils Apple.

1Password a annoncé cette semaine des extensions bêta pour Safari sur macOS, ainsi que les navigateurs Chrome, Firefox, Edge et Brave sur macOS, Windows et Linux. Dans un article de blog cette semaine, Steve Won, directeur produit de 1Password, a déclaré que l'API serait rendre les clés de sécurité plus utiles sur les iPhones.

"L'API permettra aux gestionnaires de mots de passe comme 1Password de créer et d'utiliser des clés de passe dans n'importe quelle application native qui a ajouté la prise en charge des clés de passe, y compris Safari", a noté Won. Les développeurs de 1Password intègrent désormais la nouvelle API de mot de passe dans son gestionnaire de mots de passe, selon Won.

Alors que Google avait publié son API de clés de passe pour Android plus tôt cette année, les développeurs attendaient l'API iOS comparable d'Apple. "Ce changement d'iOS est la dernière pièce du puzzle qui permettra aux fournisseurs tiers d'adopter pleinement les clés de sécurité", a écrit Rew Islam, directeur de l'ingénierie et de l'innovation des produits chez Dashlane, dans un article de blog. annonçant son support iOS. "Dashlane offrira une prise en charge des clés d'accès à la fois sur iOS et Android, rendant l'utilisation des clés d'accès transparente."

Les clés de sécurité Google sont une affaire sérieuse

Les utilisateurs et les administrateurs de Google Workspace et de Google Cloud peuvent désormais se connecter à leurs comptes avec leurs clés d'accès. Google a annoncé cette semaine que l'authentification par clé d'accès est disponible en version bêta ouverte pour plus de 9 millions d'organisations disposant de comptes Google Workspace et Google Cloud. Alors que Google continuera à permettre aux utilisateurs de se connecter à leurs comptes professionnels et personnels avec des mots de passe, la société considère les clés de passe comme une forme d'authentification plus simple et plus sécurisée.

"Lorsqu'un utilisateur se connecte avec une clé d'accès à ses applications Workspace, telles que Gmail ou Google Drive, la clé d'accès peut confirmer qu'un utilisateur a accès à son appareil et peut le déverrouiller avec une empreinte digitale, une reconnaissance faciale ou un autre mécanisme de verrouillage d'écran. ", ont noté Shruti Kulkarni, responsable de l'ingénierie Google Workspace, et Jeroen Kemperman, chef de produit, dans un message du 5 juin 2023 : blog récents. "Les données biométriques de l'utilisateur ne sont jamais envoyées aux serveurs de Google ou à d'autres sites Web et applications."

Andrew Shikiar, directeur exécutif de l'Alliance FIDO, considère la dernière décision de Google comme un coup de pouce significatif pour les clés de sécurité. "C'est une énorme, énorme déclaration que les clés d'accès sont prêtes pour les heures de grande écoute et au-delà", déclare Shikiar. "Nous pensons que cela va contribuer à accélérer l'adoption des clés de sécurité." La technologie Passkey est basée sur la spécification FIDO Alliance qui implémente le World Wide Web Consortium (W3C) Norme WebAuthn.

Les pilotes Passkey abondent dans l'entreprise

Shikiar dit que le nombre d'organisations exécutant des pilotes avec des clés de passe continue d'augmenter. Parmi eux se trouvent plusieurs grandes banques, PayPal, Home Depot, Hyatt Hotels, Intuit et Shopify. Hyatt a utilisé Authentification FIDO avec YubiKeys de Yubico pour permettre aux employés des hôtels et aux employés des centres d'appels de s'authentifier sans mot de passe.

"Ils ont fait beaucoup de travail pour adopter FIDO et les clés d'accès, et quand vous regardez l'application World of Hyatt, c'est là qu'ils ont investi dans la protection des informations de leurs clients", déclare Derek Hanson, vice-président de l'architecture des solutions et des alliances de Yubico. .

En avril de cette année, Hyatt a ajouté la prise en charge des clés d'accès à son application World of Hyatt. Au départ, les inscriptions étaient lentes, mais les inscriptions de clés de sécurité ont grimpé en flèche le jour où Google a annoncé la prise en charge des clés de sécurité dans les comptes Google. "Nous avons constaté une augmentation du nombre de créations de clés de sécurité le jour de l'annonce de Google", déclare Hannah Hodak, chef de produit senior chez Hyatt. "Nous avons également constaté une légère mais générale augmentation des créations de passe-partout depuis lors."

spot_img

Dernières informations

spot_img

Copyright @ 2024 Platon Technologies Inc.