Gestionnaires de mots de passe : que dire sur la gestion des clés d’identification (passkeys) ? - Clubic
Gestionnaires de mots de passe : que dire sur la gestion des clés d’identification (passkeys) ? - Clubic

Même si de nombreuses avancées technologiques ont été mises en place pour améliorer la sécurité des mots de passe, comme les gestionnaires de mots de passe, ces derniers restent un point faible de notre sécurité en ligne. C'est là qu'interviennent les clés d'accès. Créées pour être le futur de l'identification, elles sont beaucoup plus sécurisées que les mots de passe et rendent caduc de nombreuses menaces actuelles, comme le phishing ou les attaques par brute force. On vous en dit plus sur cette technologie.

NordPass
Clubic
NordPass
  • moodVersion gratuite limitée
  • databaseStockage illimité
  • browse_activityNotification de fuite
  • lockChiffrement XChaCha20
9.2 / 10
9.2 /10

Nous l'avons dit au-dessus : les mots de passe sont une technologie imparfaite car il est beaucoup plus facile pour les utilisateurs d'en créer des faibles plutôt que de respecter les recommandations actuelles, à savoir un mot de passe unique par compte et composé de caractères aléatoires. Ils sont donc le point d'accès idéal pour des cyber attaquants qui souhaiteraient récupérer un compte. C'est pour cela que de nombreuses entreprises et organisations, réunies au sein de l'Alliance FIDO, travaillent sur une autre manière de se connecter : les clés d'accès. Créées automatiquement et sécurisées par défaut, elles sont essentielles pour un futur en ligne plus sûr.

Pour le moment, la technologie en est encore à ses débuts et n'est pas prête à remplacer l'ensemble de vos mots de passe. Mais des avancées ont tout de même été réalisées au fil des années et dès maintenant, vous pouvez profiter de la connexion sans mot de passe sur certains sites et enregistrer vos clés d'accès au sein de vos gestionnaires habituels. Bon nombre de gestionnaires de mots de passe intègrent désormais la technologie dans leur service. On retrouve NordPass, Dashlane, 1Password ou encore Bitwarden.

Les clés d’identification (passkeys) pour remplacer les mots de passe ?

Les limites des mots de passe malgré un service sécurisé

La plus grande faiblesse des mots de passe, c'est que leur sécurité repose en grande partie sur les utilisateurs. Et il est compliqué de toujours être parfaitement exemplaire. Idéalement, chaque mot de passe devrait être assez long pour pouvoir résister aux attaques brute force et unique pour éviter que d'autres comptes puissent être compromis en cas de fuites. Même si l'on utilise un gestionnaire de mots de passe pour nous aider à gérer tout ça facilement, nous devons tout même l'avoir toujours sous la main, entrer notre mot de passe ou PIN pour le débloquer, ne pas oublier d'enregistrer et de modifier les éléments si l'on crée un nouveau compte ou que l'on modifie notre mot de passe... Malgré tous les efforts des logiciels spécialisés, la gestion des mots de passe continue d'être complexe.

Les mots de passe, un problème à la gestion complexe

Mais surtout, les mots de passe sont sensibles au phishing. Même si vous suivez toutes les bonnes pratiques, il suffit d'un mail suspect convaincant ou d'un faux site bien réalisé pour que vous donniez vos identifiants par erreur à un acteur malveillant et qu'il puisse avoir accès à votre compte. Là aussi les gestionnaires de mots de passe tentent d'aider, certains ayant inclus des alertes s'ils repèrent que l'URL du site ne correspond pas à celle qui est enregistrée sur le service, mais ils ne sont efficaces que si toutes les informations sont bien renseignées à la base.

Les clés d’identification, une solution de sécurité plus aboutie

Il a donc été vite établi qu'il était nécessaire de trouver une alternative aux mots de passe. Celle-ci a pris la forme des clés d'accès (ou clés d'identification). Elles sont liées à votre appareil (ou stockées sur votre gestionnaire de mots de passe) et requièrent généralement une confirmation de votre identité pour pouvoir être utilisées, que ce soit une empreinte digitale, une reconnaissance faciale ou le code PIN, selon ce que vous utilisez pour débloquer votre appareil.

Chaque clé d'accès est unique et liée au site web ou à l'application pour laquelle elle a été créée et ne peut pas être réutilisée ailleurs, ce qui offre plus de sécurité par défaut. Ainsi, elles sont résistantes au phishing, mais également aux failles des mots de passe, comme la réutilisation ou le fait d'être trop faibles puisqu'elles sont créées automatiquement.

De même si le site se fait pirater : cette solution d'authentification étant composée de deux parties, une clé publique stockée par le site et une clé privée stockée sur votre appareil ou dans le gestionnaire de mots de passe, seule la clé publique pourrait être récupérée par les attaquants et, seule, elle est inutile ! Dernier avantage, la double authentification devient obsolète puisque les clés d'accès incluent déjà une manière de vérifier votre identité.

La gestion des clés d’identification chez les gestionnaires de mots de passe

Comment NordPass gère les clés d’identification ?

NordPass
  • moodVersion gratuite limitée
  • databaseStockage illimité
  • browse_activityNotification de fuite
  • lockChiffrement XChaCha20
9.2 / 10

NordPass est un très bon gestionnaire de mots de passe sans fioritures. Il assure le service qu’on lui demande : gérer ses mots de passe et quelques données sensibles. Ce service est simple, efficace et il bénéficie d’une politique de cybersécurité plus que correcte. Cependant, il manque peut-être d’ambition en ne proposant pas de fonctionnalités innovantes pour se démarquer de la concurrence. Par exemple, LastPass permet de gérer les codes d’accès et mot de passe de vos applications installées sur Windows tandis que la version Premium de Dashlane intègre un VPN.

Les plus
  • Interface claire et efficace
  • Niveaux de sécurité
  • Authentification biométrique
  • Importation des données
Les moins
  • Version Premium un peu chiche
  • Pas de fonctionnalités qui sortent du lot

Depuis les sorties des nouvelles versions d'iOS et Android en 2023, NordPass prend en charge les clés d'accès sur l'ensemble des versions de son gestionnaire : mobile, application de bureau, application web, mais aussi extensions.

Lorsque l'on s'inscrit sur un site qui prend en charge les clés d'accès, NordPass propose automatiquement d'en créer et, par la suite, nous offre la possibilité de les utiliser pour se connecter à notre compte. Il en est de même si le site utilise les passkeys comme méthode de double authentification. Les clés d'accès se synchronisent entre les différentes versions du gestionnaire et peuvent être partagées avec un autre utilisateur de NordPass. Cependant, il n'existe aucun moyen pour le moment de les exporter et importer sur un autre service.

Comment Dashlane gère les clés d’identification ?

Dashlane
  • moodVersion gratuite limitée
  • databaseStockage illimité
  • browse_activityNotification de fuite
  • lockChiffrement AES-256
9 / 10

Dashlane est un gestionnaire de mots de passe réputé pour ses performances et l'ergonomie de sa solution. Compatible avec les différents systèmes d'exploitation d'ordinateur et de smartphone, il propose une extension pour la majorité des navigateurs. La confidentialité de vos comptes est renforcée par différentes solutions d'authentification à multiples facteurs. Très complète, son offre premium intègre aussi un VPN afin de limiter les risques de piratage lorsque vous vous connectez à vos sites depuis une borne Wi-Fi. On regrette cependant que Dashlane ait décidé de limiter à nouveau son offre gratuite, qui devient inutilisable au quotidien.

Les plus
  • Offre complète.
  • VPN intégré (premium).
  • Support technique en français.
Les moins
  • Offre Famille un peu chère.
  • Surveillance du dark web réservée à la version premium.
  • Version gratuite très limitée.

Dashlane permet à ses utilisateurs de stocker, modifier, supprimer et se connecter avec des clés d'accès sur toutes les versions du gestionnaire, à savoir l'application web, l'app Android et les applications Apple. Pour le moment, Dashlane n'autorise pas encore le partage des clés d'accès et, comme les autres gestionnaires, ne permet pas l'importation et l'exportation de ces éléments, la technologie n'étant pas encore disponible. Leur utilisation est semblable à ce que proposent d'autres gestionnaires de mots de passe. Lorsque l'on crée des clés d'accès sur un site web ou application compatible, Dashlane nous propose de les enregistrer au sein du gestionnaire et les stocke dans une section spécialisée, nommée "Clés d'accès". Elles profitent de la même sécurité que les mots de passe stockés dans Dashlane et personne ne peut y accéder, pas même les employés de l'entreprise.

Comment 1Password gère les clés d’identification ?

1Password
  • moodVersion d'essai limitée
  • databaseStockage illimité
  • browse_activityNotification de fuite
  • lockChiffrement AES-GCM-256
8.7 / 10

1Password propose des applications faciles à utiliser et perfectionnées qui fonctionnent sur PC, Mac, Chromebook et smartphones (iOS et Android). Sa fonction Watchtower vous aide à identifier et à modifier les mots de passe faibles, réutilisés ou compromis. Son « mode itinérant » reste original et pratique si vous allez dans des pays un peu trop curieux avec vos données personnelles. En cas de difficultés, vous pouvez contacter le support technique (par email, Twitter ou chat) qui est assez réactif et précis. Pour finir, 1Password est un bon gestionnaire pour une famille ou un groupe d’utilisateurs professionnel. Pour un usage personnel et grand public, d'autres gestionnaires sont gratuits et plus adaptés.

Les plus
  • Mode itinérant
  • Gestion de la sécurité
  • Authentification à deux facteurs
  • Offre « famille » très flexible
Les moins
  • Pas d’offre gratuite
  • Peu d’options d’authentification multiple
  • Traduction de la documentation partielle

En 2023, 1Password s'est également attaqué à la prise en charge des clés d'accès, avec quelques limitations sur Android. Le gestionnaire propose tout de même de multiples ressources pour faciliter le passage aux clés d'accès, avec un annuaire des sites compatibles disponible publiquement et la fonctionnalité Watchtower qui indique si un site pour lequel nous avons enregistré des identifiants est à présent compatible avec les clés d'accès.

Côté sécurité, les clés d'accès sont protégées avec la même sécurité que les mots de passe, à savoir que seul l'utilisateur peut y accéder (sauf en cas de partage), puisqu'il est le seul à connaître à la fois son mot de passe maître et sa Secret Key. L'utilisation de la technologie dans 1Password ne s'arrête cependant pas là : le gestionnaire a lancé une bêta qui permet aux utilisateurs de créer un nouveau compte qui n'utilise pas un mot de passe maître, mais qui procure une connexion par une clé d'accès.

Comment Bitwarden gère les clés d’identification ?

Bitwarden
  • moodVersion gratuite limitée
  • databaseStockage illimité
  • browse_activityNotification de fuite
  • lockChiffrement AES-256
8.5 / 10

Bitwarden est facile à utiliser, compatible avec Android et iOS et ses tarifs sont vraiment abordables. C’est aussi l’un des gestionnaires de mots de passe les plus sûrs, car son code source est accessible à tout le monde. Sa version gratuite offre les fonctionnalités de base dont vous avez besoin, y compris la possibilité de synchroniser autant de mots de passe que vous le souhaitez entre tous vos appareils, la prise en charge de l’authentification multiple (via une application ou une clé physique de type « Universal 2 Factor », YubiKey, Duo) et le partage. Dommage que sa version Premium n’intègre pas l’option « personne de confiance ».

Les plus
  • Politique de sécurité exemplaire
  • Hébergement sur un NAS
  • Offre Premium bon marché
  • Synchronisation multiple
Les moins
  • Application de bureau basique
  • Pas de chat en direct
  • Pas de documentation en français

Chez Bitwarden, la sauvegarde et l'utilisation des clés d'accès n'est possible qu'avec l'extension de navigateur. Elles se synchronisent tout de même avec l'ensemble de nos appareils, au sein du coffre-fort chiffré de Bitwarden. Le service a indiqué qu'une prise en charge étendue à ses autres applications était en cours de développement. Mais, même si la fonctionnalité est plutôt limitée, elle peut cependant être utilisée par tous les utilisateurs, qu'ils paient ou non pour un abonnement.

Comme 1Password, Bitwarden ne s'est pas arrêté là : les clés d'identification peuvent désormais être utilisées pour se connecter à son coffre-fort sur la version web. Il y a encore quelques limitations, dont la nécessité d'utiliser à la fois un navigateur et une clé d'accès compatibles avec l'extension PRF pour WebAuthn si l'on souhaite que la clé soit utilisée pour déchiffrer son coffre-fort. Pour ceux qui ne peuvent pas respecter ces critères, il est tout de même possible d'utiliser une passkey pour se connecter à son compte et de rentrer son mot de passe maître pour déchiffrer son coffre par la suite. La fonctionnalité permet de ne pas avoir à entrer son adresse mail et à se passer de la double authentification, une vérification d'identité étant déjà nécessaire pour les clés d'accès.