Au mois de mai dernier, Apple, Google et Microsoft avaient profité de la Journée mondiale du mot de passe pour annoncer une étape supplémentaire vers un avenir sans mot de passe en matière d'authentification. Une ambition commune qui repose sur la mise en œuvre d'une norme développée par l'Alliance FIDO (Fast IDentity Online) et le W3C (World Wide Web Consortium).
À l'intention des développeurs, Google indique désormais la prise en charge des clés d'identification passkeys sur Android et Google Chrome. En l'occurrence, les développeurs peuvent tester cette technologie d'authentification dans le cadre de la version bêta des Google Play Services et de la version Canary du navigateur Chrome.
Ultérieurement et d'ici la fin de l'année, les développeurs auront à leur disposition une API pour leur permettre d'utiliser des passkeys avec les applications Android natives. L'utilisateur pourra choisir soit une passkey, soit un mot de passe enregistré. De quoi faciliter une transition progressive.
Montée en charge pour les passkeys
Avec le support de ces clés d'identification pour les développeurs sur Android et Chrome, Google détaille la possibilité pour les utilisateurs de créer et avoir recours à des passkeys sur les appareils Android avec une synchronisation via son gestionnaire de mots de passe.
Les développeurs peuvent en outre intégrer le support des passkeys sur leurs sites web pour les utilisateurs finaux utilisant Chrome via l'API WebAuthn, sur Android et d'autres plateformes prises en charge.
Apple propose les passkeys pour la connexion aux applications et aux sites web via Face ID ou Touch ID, et sur les appareils avec iOS 16 et macOS Ventura. Pour Microsoft, cela comprend Windows Hello For Business et Microsoft Authenticator.
Simplicité pour l'utilisateur final
D'un point de vue pratique, la création d'une passkey pour l'utilisateur d'un smartphone Android se fait en confirmant l'information du compte, puis avec les dispositifs biométriques de l'appareil ou via le verrouillage d'écran. La connexion s'opère de la même manière après le choix d'un compte. Une passkey sur un smartphone peut être utilisée pour la connexion sur un appareil à proximité.
Lors de la création d'une passkey, seule sa clé publique correspondante est stockée par un service en ligne qui l'utilise afin de vérifier une signature provenant de la clé privée. La clé privée cryptographique reste dans l'appareil. Une caractéristique avec les passkeys est que la même clé privée peut exister sur plusieurs appareils.
" Étant donné que les passkeys reposent sur des normes industrielles, elles fonctionnent sur différentes plateformes et différents navigateurs, notamment Windows, macOS et iOS, et ChromeOS avec une expérience utilisateur uniforme ", insiste Google.