Amazon a connu une adoption massive des mots de passe depuis que la société les a discrètement déployés il y a un an, annonçant aujourd’hui que plus de 175 millions de clients utilisent la fonction de sécurité.
« Aujourd’hui, nous sommes ravis de partager que plus de 175 millions de clients ont activé des mots de passe sur leurs comptes Amazon, leur permettant de se connecter six fois plus rapidement qu’ils ne le pourraient autrement », déclare Amazon.
« L’adoption ne cesse de croître chaque jour, à mesure que de plus en plus de clients profitent de la commodité de la connexion sans mot de passe. »
Les clés d’accès sont des informations d’identification numériques liées à des contrôles biométriques ou à des codes PIN et stockées sur des appareils tels que des téléphones, des ordinateurs et des clés de sécurité USB.
Cette fonctionnalité d’authentification utilise des clés cryptographiques (clés publiques et privées) pour agir en tant qu’informations d’identification liées à une fonctionnalité biométrique ou à un code PIN lors de la connexion à un service.
Lors de la création d’un mot de passe, une clé privée est créée et stockée en toute sécurité sur la puce sécurisée d’un appareil et le service en ligne nécessitant une authentification ne reçoit que la clé publique.
Lorsque l’utilisateur tente ensuite de se connecter, la plateforme en ligne envoie un défi cryptographique à l’appareil de l’utilisateur.
L’utilisateur sera alors invité à s’authentifier avec son code PIN ou un défi biométrique (Face ID, Windows Hello, Empreinte digitale), ce qui amènera la clé privée de l’utilisateur à signer le défi cryptographique et à le renvoyer au service en ligne.
Le service en ligne utilisera la clé publique de l’utilisateur pour vérifier le défi et, en cas de succès, connecter l’utilisateur à son compte.
Comme ces défis cryptographiques sont de courte durée et que les clés privées de l’utilisateur sont stockées sur une puce sécurisée, les clés d’accès sont considérées comme une méthode d’authentification plus sûre car elles ne peuvent pas être volées lors de violations de données, d’attaques de phishing ou de logiciels malveillants, comme les informations d’identification habituelles.
Les clients Amazon qui n’ont pas créé de mot de passe peuvent le faire dans les paramètres du compte.
En raison du succès de l’initiative passkey d’Amazon, la société les a déployés sur ses autres services, tels qu’AWS et Audible.
Cependant, comme les mots de passe sont liés à l’appareil d’un utilisateur, ils ne sont pas portables, ce qui signifie que vous ne pouvez pas les transférer entre appareils ou gestionnaires de mots de passe.
Aujourd’hui, l’alliance FIDO a annoncé une nouvelle spécification qui rend les clés d’accès portables sur différentes plates-formes et gestionnaires de mots de passe.