L’avenir sans mot de passe : FAQ complète sur les clés d’accès

Qu’est-ce qu’une clé d’accès et comment fonctionne-t-elle ?

Les clés d’accès sont une forme d’authentification qui vous permet de créer des comptes et de vous y connecter rapidement, sans avoir à utiliser un mot de passe moins sécurisé. Cette méthode de connexion sécurisée en une seule étape remplace les méthodes d’authentification traditionnelles, ainsi que le processus d’authentification à deux facteurs (2FA). Mieux encore, avec les clés d’accès, vous ne créerez plus jamais de mot de passe faible, car vous n’aurez plus jamais besoin de créer de mot de passe.

Les clés d’accès remplacent-elles les clés matérielles physiques, comme les YubiKey ?

Une YubiKey moderne peut être utilisée comme une forme de clé d’accès. Plus précisément, il s’agit de ce que l’on appelle une clé de sécurité ou « clé d’accès liée à l’appareil » : la clé elle-même réside sur le petit appareil et n’est jamais synchronisée ni sauvegardée. Cela peut les rendre plus difficiles à utiliser qu’une clé d’accès synchronisée, mais elles peuvent être utiles dans certains scénarios.

Les clés d’accès sont-elles la même chose que le sans mot de passe ?

Oui. Comme les clés d’accès ne nécessitent pas de mot de passe, elles sont considérées comme une méthode d’authentification sans mot de passe. Notez que les clés d’accès sont généralement plus sûres que d’autres moyens d’authentification sans mot de passe, plus faciles à hameçonner.

Quelle est la meilleure façon d’utiliser les clés d’accès ?

Utiliser une clé d’accès est bien plus simple que vous ne le pensez. Lorsque vous créez un nouveau compte, au lieu de créer un nom d’utilisateur et un mot de passe traditionnels (et de vous inscrire en plus à la connexion en deux étapes), vous créez une seule clé d’accès. Cette clé d’accès peut être associée à la biométrie de votre appareil (par exemple un lecteur d’empreintes digitales) ou à un code PIN si elle exige une vérification de l’utilisateur. Ainsi, lorsque vous vous connectez au compte, vous n’avez qu’à vous authentifier par biométrie ou code PIN pour y accéder. Les données biométriques ne sont utilisées que localement sur votre appareil et ne sont jamais envoyées au site web.

Quel est le processus de configuration d’une clé d’accès ? Comment ce processus change-t-il lorsque j’accède à un site ou à une application par la suite ?

Lorsqu’un site web ou une application qui utilisait auparavant un nom d’utilisateur/mot de passe traditionnel prend en charge les clés d’accès, un simple clic sur un bouton suffit souvent pour créer votre première clé d’accès. Le processus est aussi simple que le déverrouillage de votre appareil. En arrière-plan, lorsque vous créez une clé d’accès, une paire de clés cryptographiques est générée. La première est la clé publique, stockée sur le site web pour lequel vous créez le compte. La seconde est la clé privée, stockée sur votre appareil ou dans votre coffre Bitwarden. Cette paire de clés est protégée sur votre appareil par votre empreinte digitale biométrique ou la reconnaissance faciale.

Quelles informations sont requises lors de la configuration d’une clé d’accès ?

Lorsque vous créez une clé d’accès pour un site, vous devez d’abord vous connecter avec votre nom d’utilisateur et votre mot de passe existants. Le serveur envoie ensuite une requête à votre navigateur pour fournir des informations de chiffrement spécifiques. Vous devez alors approuver la requête à l’aide, par exemple, de la biométrie (lecteur d’empreintes digitales ou déverrouillage par reconnaissance faciale) ou du code PIN de votre appareil. Une fois la vérification réussie, votre appareil génère la paire de clés et envoie la clé publique au site. Et c’est la seule information que vous devrez fournir lors de la configuration d’une clé d’accès.

Où mes clés d’accès sont-elles stockées ?

La clé publique est stockée sur le site web et la clé privée est stockée sur votre appareil ou chez votre fournisseur de clés d’accès, par exemple dans votre coffre Bitwarden.

Du point de vue de la sécurité, comment les mots de passe et les clés d’accès se comparent-ils ?

Les clés d’accès sont plus sûres que la méthode d’authentification traditionnelle par nom d'utilisateur/mot de passe pour plusieurs raisons. Tout d’abord, vous ne pourrez pas utiliser de mots de passe faciles à deviner, comme « mot de passe ». De plus, la 2FA est intégrée à la clé d’accès, et la seule façon pour quelqu’un d’accéder à votre compte serait de disposer à la fois de la clé privée et de votre authentification biométrique ou du code PIN de votre appareil.

Ai-je besoin de la 2FA avec ma clé d’accès ?

Non, car la 2FA est intégrée à la clé d’accès fournie au site web lors du processus de connexion. Chaque site web peut toutefois choisir d’ajouter une étape supplémentaire pour se connecter, même si la plupart ne le font pas.

Ma clé d’accès peut-elle être piratée ?

Rien n’est fiable à 100 %. Cependant, pirater une clé d’accès demanderait des efforts considérables : il faudrait non seulement accéder à l’appareil où la clé privée est stockée, mais aussi le déverrouiller, par exemple en recréant votre authentification biométrique (empreinte digitale ou visage) ou le code PIN de votre appareil. Pour cette raison, les clés d’accès sont bien plus sûres que les méthodes traditionnelles.

Que se passe-t-il si je perds mon téléphone ? Comment récupérer ma clé d’accès sans élément comme un mot de passe pour m’identifier ?

Les clés d’accès peuvent souvent être synchronisées entre vos appareils, mais toutes les plateformes ne le prennent pas encore en charge. Bitwarden vous permettra de stocker vos clés d’accès dans votre coffre, qui est sauvegardé et synchronisé entre tous vos appareils. Si vous perdez malgré tout vos clés d’accès, la plupart des sites devraient proposer des options de récupération afin que vous puissiez créer une nouvelle clé d’accès pour votre compte. Cela se fera bien sûr au cas par cas, selon le site. 

Que se passe-t-il si mon appareil est volé ? Un voleur peut-il accéder aux clés d’accès de cette manière ?

La seule façon pour un voleur d’utiliser vos clés d’accès sur votre appareil serait de pouvoir également déverrouiller votre appareil, ce qui lui donnerait effectivement un accès complet à vos données. Toutefois, chaque utilisation d’une clé d’accès nécessite souvent une vérification de l’utilisateur, comme la biométrie ou la ressaisie du code PIN de votre appareil ; voler votre appareil alors qu’il est déverrouillé ne suffirait donc pas.

Google a récemment annoncé la prise en charge des clés d’accès. Est-ce la même chose que ce qu’annonce Bitwarden ?

En partie. Google a annoncé avoir ajouté la prise en charge de l’authentification par clé d’accès pour les comptes Workspace, ce qui signifie que les utilisateurs peuvent se connecter à Google Workspace avec une clé d’accès au lieu de leur mot de passe habituel. De même, les utilisateurs Bitwarden pourront accéder à leurs comptes Bitwarden avec une clé d’accès au lieu de leur mot de passe principal. 

Bitwarden a également annoncé que les utilisateurs pourront enregistrer, stocker et gérer les clés d’accès enregistrées associées aux sites web et aux applications qu’ils utilisent, directement dans leurs coffres. Ainsi, Google permet désormais d’utiliser des clés d’accès pour les comptes, et Bitwarden est capable de stocker des clés d’accès dans les coffres.

Est-ce que j’utilise la même clé d’accès quel que soit le navigateur, ou chaque site exigera-t-il une clé d’accès différente selon le navigateur ou l’appareil ?

Les clés d’accès stockées dans Bitwarden sont des clés d’accès synchronisées, ce qui signifie que, dans tout navigateur où vous êtes connecté à l’extension Bitwarden ou sur lequel l’application mobile Bitwarden est installée, vous pouvez accéder à vos comptes avec les mêmes clés d’accès sans avoir à en créer de nouvelles. Si vous ne stockez pas vos clés d’accès dans Bitwarden, cela dépendra de la qualité de l’intégration du navigateur avec le système d’exploitation de votre appareil (où les clés d’accès sont stockées).

La liste croissante des sites qui prennent actuellement en charge les clés d’accès comprend Best Buy, Cloudflare, eBay, Google, Kayak, PayPal et GitHub. Un index des clés d’accès alimenté par la communauté est disponible sur GitHub.

Les utilisateurs peuvent utiliser une clé d’accès pour accéder à leurs comptes sans mot de passe principal dans l’application web, avec les navigateurs pris en charge. Les clés d’accès peuvent également être créées et stockées dans les coffres Bitwarden pour accéder aux sites qui les prennent en charge.

Les clés d’accès peuvent-elles être utilisées sur plusieurs plateformes ? Sinon, y a-t-il des problèmes à avoir différentes clés d’accès selon la plateforme utilisée ?

Il existe deux types de clés d’accès : les clés d’accès liées à l’appareil et les clés d’accès synchronisées. Les clés d’accès liées à l’appareil sont limitées à l’appareil sur lequel elles ont été créées. Les clés d’accès synchronisées peuvent être stockées chez un fournisseur de clés d’accès comme Bitwarden et utilisées partout où vous y êtes connecté.

Serai-je obligé d’utiliser des clés d’accès si je les adopte ?

Cela dépendra du site ou du compte. Certains sites peuvent choisir de ne proposer que l’authentification par clé d’accès, tandis que d’autres peuvent proposer l’authentification traditionnelle par nom d'utilisateur/mot de passe, ou par nom d'utilisateur/mot de passe/2FA.

Les clés d’accès peuvent-elles être partagées avec d’autres personnes de confiance ?

Cela dépend de la plateforme. Certaines plateformes, dont Bitwarden, permettent de partager des clés d’accès avec des personnes de confiance. 

Existe-t-il une assistance, par exemple un conseiller disponible par chat en direct, à qui parler si je rencontre un problème avec ma clé d’accès ?

Cela dépendra du site. Si un site prend en charge l’authentification par clé d’accès et propose une assistance, il pourra répondre à vos questions concernant l’authentification par clé d’accès pour ce site en particulier.

Si je ne veux plus utiliser ma clé d’accès, puis-je la supprimer ?

Oui. Cela se fera de la même manière que vous supprimeriez un mot de passe sur votre appareil.