Et si vous n’aviez plus jamais à saisir de mot de passe ? Imaginer. Une journée internationale de célébration. Des enfants dansent dans les rues. Des soldats déposant leurs armes et s’embrassant en larmes sur le champ de bataille.

Abonnez-vous à notre newsletter technologique hebdomadaire, TechScape.

Ou, du moins, une légère amélioration de votre quotidien. C’est ce que proposent Apple, Google et Microsoft, avec une triple annonce plutôt rare que les trois géants de la technologie adoptent la norme Fido et inaugurent un avenir sans mot de passe. La norme remplace les noms d’utilisateur et les mots de passe par des «mots de passe», les informations de connexion sont stockées directement sur votre appareil et téléchargées sur le site Web uniquement lorsqu’elles sont combinées avec une authentification biométrique telle qu’un selfie ou une empreinte numérique. De l’annonce Apple:

Les utilisateurs se connecteront par la même action qu’ils effectuent plusieurs fois par jour pour déverrouiller leurs appareils, comme une simple vérification de leur empreinte digitale ou de leur visage, ou un code PIN d’appareil. Cette nouvelle approche protège contre le phishing et la connexion sera radicalement plus sécurisée par rapport aux mots de passe et aux technologies multifactorielles héritées telles que les codes d’accès à usage unique envoyés par SMS.

Les trois sociétés déploieront le support Fido « au cours de la prochaine année ». La norme Fido2 est déjà publique et certaines entreprises la prennent déjà en charge, principalement pour l’authentification interne. Mais la norme a longtemps manqué de la dernière étape nécessaire à l’ubiquité : faciliter le démarrage.

C’est de cela qu’il s’agit dans cette dernière annonce. Avec l’aide des propriétaires de plateformes, les utilisateurs pourront synchroniser leurs « mots de passe » Fido sans avoir à se connecter à chaque nouvel appareil. Cela vous fait passer d’un service qui est un bel ajout aux mots de passe à un service qui peut être entièrement utilisé pour les remplacer.

La facilité d’utilisation n’est qu’une partie de la raison du changement. Les codes d’accès, protégés par une identification biométrique sur votre téléphone, sont plus rapides que la saisie manuelle des mots de passe, mais si vous utilisez un gestionnaire de mots de passe (et vous devriez utiliser un gestionnaire de mots de passe) pourra de toute façon entrer des mots de passe et se connecter à la plupart des sites Web d’une simple pression sur un bouton (détection d’empreintes digitales).

Mais la raison principale est que les mots de passe sont nuls. Ils sont nuls à cause de la façon dont ils sont utilisés dans la pratique : les gens créent des mots de passe courts et faciles à deviner, puis les réutilisent sur Internet. Pour de nombreux utilisateurs, plus un site Web est important, plus le mot de passe sera court et facile à deviner, car même si vous pouvez tolérer d’entrer un mot de passe long et fort une ou deux fois, vous ne prendrez pas la peine de le faire plusieurs fois. fois par jour.

Et les façons dont nous avons essayé de réparer les mots de passe… c’est nul aussi. Les exigences d’ajouter de la complexité aux mots de passe, dans le but de les rendre plus difficiles à forcer, sont notoirement exaspérantes et souvent inaptes à garantir le résultat réel qu’ils recherchent : si « P@ssword1 » est un mot de passe valide mais « tunnel étendu doublé » (pour proposer une phrase de passe générée aléatoirement par mon gestionnaire de mots de passe pour le moment) ne l’est pas, vous venez de réduire la sécurité du compte de quelqu’un.

L’authentification à deux facteurs, qui vous demande de lier un deuxième « facteur » à votre compte, comme un numéro de téléphone qui reçoit un SMS ou un autre appareil que vous utilisez pour approuver la connexion, a ses propres problèmes. Les formes les plus populaires d’authentification à deux facteurs impliquent l’utilisation de codes d’accès à usage unique, soit par SMS, soit générés par une application sur votre téléphone ou votre ordinateur. Et ces codes d’accès à usage unique sont tout aussi ouverts au phishing qu’un mot de passe conventionnel, mais avec une date d’expiration plus courte s’ils sont volés avec succès.

Et donc si le truc Fido décolle, le monde devrait devenir un peu plus sûr, un peu moins frustrant et un peu plus fluide pour se déplacer.

À quoi cela ressemblera-t-il pour vous ? Ce n’est probablement pas si différent dans la pratique. Un jour, vous allez créer un compte sur un site Web et juste… on ne vous demandera pas de mot de passe. Vous ne le remarquerez peut-être même pas. Mais rassurez-vous, les enfants danseront dans les rues de toute façon.

Si vous souhaitez lire la version complète de la newsletter veuillez vous abonner pour recevoir TechScape dans votre boîte de réception tous les mercredis.