Les Clés d'accès ils sont déjà là. Qui sont? Eh bien, résumons-le un peu : son intention est que nous oublions les mots de passe, afin que nous puissions accéder à n'importe quel service à partir de données biométriques et d'appareils liés, afin que nous ne puissions jamais oublier un mot de passe ni nous le voler parce que, tout simplement, il commence en nous et n'existe pas en tant que tel. Ils sont déjà disponibles dans iOS 16 et le seront bientôt dans Android 14, dont la version bêta publique a déjà été lancée, et maintenant c'est aux services d'intensifier et de commencer à les mettre en œuvre.
Qu'on le veuille ou non, les PassKeys sont l'avenir. Avec Apple, Google et Microsoft derrière lui, un chemin a commencé qui n'a pas de retour en arrière. Mais c'est cela, le futur, pas le présent du tout. Et, comme c'est malheureusement habituel, c'est moins le cas pour les utilisateurs de Linux. Juste comme expliquer Google, pour créer une PassKey et accéder à un service avec celle-ci, vous avez besoin d'un ordinateur avec Windows 10 ou macOS Ventura, d'un téléphone mobile avec iOS 16 ou Android 9 ou d'une clé de sécurité matérielle prenant en charge le protocole FIDO2.
Navigateurs compatibles avec PassKeys
De plus, l'ordinateur doit avoir installé un navigateur compatible, et Google indique qu'il s'agit de Chrome 109 ou supérieur, Safari 16 ou supérieur et Edge 109 ou supérieur. Quant à ceux basés sur Chromium, ça ne se dit pas, mais j'oserais dire qu'ils le sont tous depuis la v109. Firefox n'est pas mentionné, mais il est mentionné sur le site officiel passkeys.dev, bien que le support ne soit pas complet.
Et pour le Utilisateurs de Linux, pour le moment, seul Ubuntu est mentionné et via Edge ou Chrome, pour lesquels il est également nécessaire d'avoir l'équipement connecté à une clé compatible (plus d'informations). À cet égard, les utilisateurs de Linux savent parfaitement que partout où ils se réfèrent à Linux, le nom Ubuntu apparaît généralement, comme s'il s'agissait du seul système d'exploitation basé sur le noyau Torvalds. Ce qui peut être fait avec une distribution peut généralement être fait avec une autre, mais cela vaut la peine d'être prudent.
Lumières et ombres en 2023, moins d'ombres dans quelques années
Ayant moins d'un an de vie, et aussi avec si peu de services qui l'utilisent, Ma recommandation en ce moment est que nous oublions pendant un certain temps de ces PassKeys. Parce que? Simple, il faut réfléchir à ce qui pourrait arriver : si on n'a qu'un seul téléphone compatible, on crée une PassKey et on la perd, bye bye peu importe. Si nous utilisons Linux, comme la plupart de nos lecteurs, nous devons dépendre de la clé, et si nous la perdons... zéro patatero ; compte inaccessible.
Quand seront-ils la meilleure option ? Dans un futur où nous avons plusieurs appareils compatibles. Pas un, pas deux ; pratiquement tous. Ou tous, directement, pour nous éviter d'avoir à faire un incident.
Que peut-il arriver
Par exemple, en ce moment, j'ai l'ordinateur portable sur lequel j'écris cet article, une tablette, un téléphone portable et un autre ordinateur portable plus ancien à proximité. Aucun des ordinateurs portables ne peut créer de PassKeys, et vous devez faire confiance au mobile et à la tablette ou à la clé. Pour moi, qui aime jouer la sécurité, deux appareils compatibles ne me semblent pas suffisants. En fait, lorsque nous avons des documents importants, on dit que nous devons en avoir une copie dans au moins trois appareils/disques/lecteurs. En outre, sans la clé, je ne peux accéder à rien depuis les ordinateurs portables.
Supposons, dans le même exemple, que mon ordinateur portable dispose d'un lecteur d'empreintes digitales ou facial ou que j'ai une clé qui prend en charge FIDO2 et qui est déjà compatible avec PassKeys. Dans ce cas, avec trois sur quatre, et compte tenu de la faible probabilité que les trois appareils se cassent ou perdent, c'est peut-être déjà une bonne idée. Bien sûr, en laissant de côté le débat que certains pourraient penser qu'il n'est pas bon qu'ils contrôlent autant nos données biométriques, débat qui est sur le devant de la scène depuis près de 10 ans, quand Apple popularisé lecteurs d'empreintes digitales sur iPhone 5s
Et soyez prudent lorsque vous partagez un appareil lié aux PassKeys
Un autre point à garder à l'esprit est que, de la même manière qu'une personne disposant de notre code PIN peut voir nos conversations WhatsApp, cette personne pourrait également accéder à n'importe quel service dans lequel nous sommes enregistrés, car le PassKey est enregistré sur l'appareil. Pour moi, ce ne serait pas un problème car mes appareils sont touchés par moi et seulement moi, mais cela peut causer des maux de tête à ceux qui partagent habituellement.
Google dit:
Important: En créant une clé d'accès, vous acceptez une expérience de connexion sans mot de passe. Créez des codes d'accès uniquement sur les appareils personnels que vous contrôlez. Même si vous vous déconnectez de votre compte Google, une fois que vous avez créé une clé d'accès sur un appareil, toute personne pouvant déverrouiller l'appareil peut se reconnecter à votre compte Google avec la clé d'accès.
Probablement tout cela s'améliorera encore plus à l'avenir, mais maintenant nous sommes confrontés à la nouvelle qu'il a commencé à être disponible, rien de plus. Je pense que tu en as besoin au moins 5 ans pour normaliser, et pour le moment je pense juste que je ne sais pas quoi penser. Ou oui : merci, mais non merci... pas encore.
Et à Dieu ne plaise, si quelqu'un a un accident et perd un membre qui est lu comme des données biométriques ou si son visage est légèrement déformé en raison de blessures, alors ?