Google et d'autres entreprises ont travaillé avec l'Alliance FIDO pour changer le fonctionnement de la sécurité en ligne en utilisant un concept qu'ils appellent le Passeport. C'est une excellente idée avec quelques défauts qui signifient que ce n'est pas vraiment quelque chose que Google devrait proposer à tout le monde.
Les clés d'accès fonctionnent à l'aide de deux éléments essentiels: un matériel spécial déjà intégré à la plupart des meilleurs téléphones Android et un logiciel de cryptographie qui répond à toutes les spécifications pour en faire ce qu'on appelle un identifiant FIDO.
Lorsque vous configurez votre téléphone, une clé unique est créée et stockée dans l'enclave sécurisée de votre téléphone. Cet identifiant sera utilisé avec le Normes FIDO pour créer un ensemble d'informations d'identification pouvant être transmises à tout appareil en communication avec votre téléphone ou à tout logiciel exécuté sur cet appareil, comme le navigateur Web ou une application.
Une fois que tout est configuré, il vous suffit de déverrouiller votre téléphone pour fournir ces informations d'identification sécurisées.
Vous ne fournissez aucune information pouvant être utilisée pour vous identifier, mais chaque ensemble d'informations d'identification reste unique. Le seul composant en ligne est une clé de sauvegarde stockée dans le cloud pour vous aider à récupérer vos comptes.
En termes simples, cela signifie que votre téléphone stockera une clé. Lorsque vous souhaitez accéder à un compte en ligne qui fonctionne avec des clés d'accès, vous déverrouillez votre téléphone et la clé prouve que vous êtes vraiment vous.
J'aime ce futur où les mots de passe et les noms d'utilisateur n'existent pas vraiment. Pas autant qu'Apple et Google qui savent qu'il faut presque avoir un téléphone conforme pour l'utiliser et il n'y a que deux vrais choix — iOS et Android — mais je pense que c'est un pas dans la bonne direction direction.
Cela dit, je ne vous recommande pas de l'activer dès que vous voyez une invite ou recevez un e-mail de Google. Ce n'est tout simplement pas tout à fait prêt.
Le processus d'intégration lui-même est un peu à moitié cuit. Certains de mes collègues ici à Android Central l'ont parcouru avec un certain succès et après avoir manipulé un code QR affiché sur un téléphone et invité à le scanner avec le même téléphone, les URL qui sont cassées et ne font rien lorsque vous appuyez dessus, et on vous dit que le Clé de sécurité USB devait être inséré même s'il n'y en avait jamais eu, nous sommes tous arrivés à la même conclusion - ce n'est pas prêt pour les heures de grande écoute.
Cela ne signifie pas qu'il ne peut pas être ou ne sera pas prêt à l'avenir. Nous avons déjà vu cela de Google auparavant - précipitez une fonctionnalité qui a encore besoin de beaucoup de peaufinage avant vous le donnez à des milliards d'utilisateurs - et nous avons vu Google le transformer rapidement et le faire fonctionner comme destiné. Cela signifie qu'en ce moment, la configuration de votre compte avec un mot de passe peut être une très mauvaise expérience.
Ce n'est pas le vrai problème cependant, du moins à mon avis. Mon problème est qu'il est lié à un appareil physique que vous devez avoir sous la main si vous souhaitez utiliser un service en ligne.
Cet appareil n'a pas besoin d'être un téléphone. Vous pouvez également utiliser une clé de sécurité physique, un accessoire portable ou tout autre support matériel et logiciel approprié pour agir en tant qu'authentificateur. Et ça marche bien — j'utilise un Clé USB compatible FIDO comme méthode d'authentification à deux facteurs pour accéder à mes comptes. Je sais aussi que j'ai une solution de sauvegarde facile pour les moments où je n'ai pas ma clé comme aujourd'hui quand je ne suis pas chez moi dans mon propre bureau. Google Authenticator ou même SMS peuvent vous sauver la vie.
Cependant, la plupart des gens utiliseront leur téléphone comme passe-partout. Vous l'avez déjà, vous y avez dépensé beaucoup d'argent et la société auprès de laquelle vous l'avez acheté vous a dit à quel point tout était sécurisé. De plus, Google facilite l'utilisation de votre téléphone car il veut que vous soyez encore plus dépendant de votre téléphone.
Demandez-vous, cependant, pourriez-vous jamais perdre votre téléphone? C'est là que les choses ne sont pas aussi faciles.
Théoriquement, tout ce que vous avez à faire pour réactiver votre clé sécurisée est de vous connecter à votre compte Google avec un nouveau téléphone. Même le "futur sans mot de passe" aura toujours besoin d'un mot de passe, je suppose. Bien que je n'aie pas pu tester cela, je dirai que cela fonctionne probablement comme prévu car c'est la partie la moins complexe du système - conservez une sauvegarde de la partie importante, mais inutile en elle-même, dans le cloud pour la récupérer si jamais vous en avez besoin il.
J'espère que vous n'êtes pas verrouillé de votre compte Google et peut se souvenir du mot de passe réel dont on vous a dit que vous n'en avez plus besoin, et vous avez un moyen d'obtenir un SMS de Google ou de vous connecter à un application d'authentification. Le tout sans votre téléphone entre vos mains. Seigneur, aidez-vous si votre téléphone a été volé et que quelqu'un a arrosé votre compte en essayant d'y entrer trop de fois.
Ce sont de vrais problèmes dont on entend parler tous les jours. C'est déjà horrible de ne pas pouvoir aider quelqu'un à retrouver son compte où sont stockées des années de photos. Avoir leurs identifiants pour les choses de Netflix à leur banque inaccessibles pendant que tout est réglé est un cauchemar.
Bientôt, nous utiliserons tous des clés de sécurité car nous n'aurons pas le choix. Avant que cela n'arrive, j'espère que quelqu'un pense à rendre le système plus convivial.