Deux des plus grands sites de médias sociaux, X (anciennement Twitter) et LinkedIn, devraient prochainement offrir la possibilité d'utiliser des clés d'accès, une manière pour les utilisateurs de se connecter à leurs comptes sans utiliser de mot de passe.
Selon les découvertes de Steve Mosher, développeur iOS, les deux services contiennent du code qui suggère qu'ils seront bientôt compatibles avec cette nouvelle technologie, dont les normes sont régies par l'alliance FIDO définies dans les spécifications FIDO2.
L'alliance FIDO compte parmi ses membres de niveau cadre des entreprises telles qu'Apple, Google et Microsoft, qui soutiennent tous les passkeys sur leurs plateformes respectives. Cependant, le nombre d'autres services qui les offrent est limité.
Un autre adoptant
BestBuy, eBay et PayPal sont les seuls autres services importants à supporter les passkeys, bien que leur adoption semble continuer à s'élargir. Par exemple, il a été récemment découvert qu'une version bêta de WhatsApp contenait un menu de paramètres lié aux passkeys, ce qui signifie que les futures versions de l'application de messagerie chiffrée seront probablement compatibles avec eux.
En plus d'être plus pratiques – car rien n'a besoin d'être mémorisé – les passkeys sont également considérées comme plus sécurisées car elles résistent au phishing, puisqu'il n'y a pas de données d'identification qui peuvent être extraites des utilisateurs ; les clés utilisées ne sont connues de personne.
La clé privée est stockée de manière cryptographique sur l'appareil de l'utilisateur. Lorsqu'elle est combinée avec la clé publique du service en question, l'accès au compte est accordé. Tout ce qui est nécessaire pour vérifier la connexion est ce que l'utilisateur a mis en place pour sécuriser son appareil. En général, il s'agit d'une empreinte digitale, de leur visage, ou d'un code PIN.
Alors que beaucoup sont optimistes quant à l'adoption future de la technologie et au remplacement des mots de passe, certains expriment des inquiétudes concernant leur mise en œuvre. Par exemple, certains soutiennent que les grandes entreprises technologiques monopolisent injustement les passkeys, et enferment les utilisateurs dans leurs propres plateformes, puisqu'elles ne peuvent pas être utilisées entre elles.
Cependant, nombre des meilleures options de gestionnaires de mots de passe commencent à soutenir le stockage des passkeys, ce qui permettrait une utilisation inter-plateformes. Un autre problème, cependant, est de savoir à quel point la technologie se généralisera, et combien de temps il faudra pour que les passkeys se répandent dans tous les services que les utilisateurs ont. Roger Grimes, vétéran de la sécurité, estime par exemple que les mots de passe pourraient encore être avec nous pendant encore une dizaine d'années.