Dashlane, un acteur majeur dans le domaine des gestionnaires de mots de passe, a lancé une nouveauté significative : la possibilité de se connecter à son application sans avoir besoin d’un mot de passe maître. Cette avancée est le fruit d’une collaboration avec Yubico, utilisant une méthode basée sur le standard FIDO pour la création de « passkeys ». Mais avant de plonger dans cette nouvelle fonctionnalité, examinons-en les implications et les précautions à prendre, comme l’indique l’article de David Berlind sur ZDNet.
Comment fonctionne la connexion sans mot de passe ?
La majorité des fuites de données en cybersécurité sont souvent causées par des escroqueries de phishing, où les utilisateurs transmettent involontairement leurs mots de passe. Dashlane ambitionne d’éliminer ce problème en rendant le processus d’authentification basé sur des passkeys plutôt que sur des mots de passe. L’idée est simple : si les mots de passe, souvent volés par les pirates, sont supprimés, il devient impossible pour les attaquants de les voler.
Le système de passkeys repose sur une technologie qui nécessite un gestionnaire de mots de passe pour gérer la création et le stockage sécurisé de ces clés. Cependant, ce modèle pose une question épineuse : comment accéder à son gestionnaire de mots de passe sans utiliser d’abord le mot de passe ? Pour résoudre ce dilemme, Dashlane s’appuie sur un dispositif matériel, la YubiKey, permettant d’accéder à ses credentials sans avoir à taper de mot de passe.
Les enjeux de la gestion des identifiants
L’introduction des passkeys entraîne deux défis de taille :
- Accès à la YubiKey : Si un utilisateur perd son dispositif, il risque de ne plus pouvoir accéder à ses identifiants, y compris à son gestionnaire de mots de passe.
- Support limité sur mobile : Actuellement, la version mobile de Dashlane ne prend pas en charge la fonctionnalité passwordless, un problème qui devrait être résolu d’ici la nouvelle année.
Des précautions sont nécessaires
L’une des recommandations essentielles est de toujours avoir plusieurs YubiKeys à disposition. En cas de perte d’un dispositif, il faut disposer d’un moyen de récupération. En effet, Dashlane a choisi de ne pas offrir de système de récupération traditionnel qui pourrait compromettre la sécurité des utilisateurs. La sécurité de ce nouvel accès repose entièrement sur la possession physique de la YubiKey, éliminant ainsi presque toutes les méthodes d’hameçonnage.
Conclusion
Avec la mise en œuvre de connexions sans mot de passe, Dashlane représente une avancée significative dans la lutte contre le phishing et les cyberattaques. Cependant, il est crucial pour les utilisateurs de comprendre et de gérer les implications de la perte de leur dispositif d’authentification. Dans l’ensemble, cette innovation souligne l’importance croissante des solutions de sécurité basées sur des identifiants matériels, tout en mettant en lumière les défis liés à leur adoption généralisée.
Pour en savoir plus sur cette fonctionnalité révolutionnaire, vous pouvez consulter l’article original de David Berlind sur ZDNet ici.
