Questions d'ordre général
Qui prend en charge les clés d'accès ?
Les clés d'accès étant basées sur les normes FIDO, elles fonctionnent sur Android et Chrome, ainsi que sur de nombreux autres écosystèmes et navigateurs courants tels que Microsoft Windows, Microsoft Edge, macOS, iOS et Safari.
Consultez la section Environnements compatibles pour vérifier l'état de compatibilité de Chrome et d'Android.
Les clés d'accès fonctionnent-elles sur les appareils sur lesquels aucune méthode de verrouillage de l'écran n'est configurée ?
Cela dépend de la mise en œuvre du gestionnaire de mots de passe, si un fournisseur d'identifiants autorise la création et l'authentification de clés d'accès sans question liée au facteur de connaissance de l'utilisateur. Les fournisseurs peuvent inviter les utilisateurs à configurer un code PIN ou un verrouillage biométrique de l'écran avant de créer une clé d'accès.
Comment une clé d'accès enregistrée sur une plate-forme (par exemple, Android) peut-elle être utilisée pour se connecter sur d'autres plates-formes (comme le Web ou iOS) ?
Une clé d'accès enregistrée sur Android, par exemple, peut être utilisée pour se connecter sur d'autres plates-formes en connectant le téléphone Android à un autre appareil. Pour établir une connexion entre les deux appareils, les utilisateurs doivent ouvrir le site auquel ils essaient de se connecter sur un appareil sur lequel aucune clé d'accès n'est enregistrée, scanner un code QR, puis confirmer la connexion sur l'appareil sur lequel ils ont créé la clé d'accès (dans ce cas, l'appareil Android). La clé d'accès ne quitte jamais l'appareil Android. Par conséquent, les applications suggèrent généralement de créer une clé d'accès sur l'autre appareil pour faciliter la connexion la prochaine fois. Ce flux fonctionnera de la même manière pour d'autres plates-formes.
Puis-je déplacer des clés d'accès synchronisées d'un fournisseur de plate-forme à un autre ?
Les clés d'accès sont enregistrées dans le fournisseur d'identifiants défini par la plate-forme. Certaines plates-formes, comme Android, permettent aux utilisateurs de choisir le fournisseur de leur choix (un système ou un gestionnaire de mots de passe tiers) à partir d'Android 14, qui peut synchroniser les clés d'accès sur différentes plates-formes. Il n'est pas possible de transférer des clés d'accès directement d'un fournisseur de plate-forme à un autre pour le moment.
Un utilisateur peut-il synchroniser ses clés d'accès sur des appareils Android autres que Google ?
Les clés d'accès ne sont synchronisées qu'au sein de l'écosystème de l'appareil (c'est-à-dire, Android vers Android avec le Gestionnaire de mots de passe de Google par défaut), mais pas dans l'écosystème.
Android ouvre la plate-forme (à partir d'Android 14) pour permettre aux utilisateurs de sélectionner le fournisseur d'identifiants qu'ils souhaitent utiliser (par exemple, un gestionnaire de mots de passe tiers). Cela permettra des cas d'utilisation tels que la synchronisation de clés d'accès entre différents écosystèmes (en fonction du degré d'ouverture des autres plates-formes).
Que doivent faire les développeurs concernant les appareils et les plates-formes qui ne sont pas compatibles avec les clés d'accès ?
Nous recommandons aux développeurs de conserver les options de connexion existantes dans leur application pour le moment afin qu'elles restent disponibles pour les appareils et les surfaces non compatibles avec les clés d'accès.
Une clé d'accès peut-elle expirer ?
Non. Cela dépend du fournisseur qui stocke les clés d'accès et de la RP (partie de confiance), mais il n'est pas courant de faire expirer les clés d'accès.
Un tiers assujetti à des restrictions peut-il spécifier un compte avec lequel l'utilisateur peut se connecter ?
Les tiers de confiance (applications tierces) peuvent renseigner le champ allowCredentials avec une liste d'identifiants envoyés par le backend de leur application, indiquant les clés d'accès à utiliser pour authentifier l'utilisateur.
Clés d'accès sur Android et Chrome
Les applications Android peuvent-elles utiliser des clés d'accès créées dans Chrome pour l'authentification ?
Pour les clés d'accès créées dans Chrome sur Android:
Oui, les clés d'accès créées dans Chrome sont enregistrées dans le Gestionnaire de mots de passe de Google et disponibles sur Android, et inversement, lorsque les utilisateurs sont connectés au même compte Google.
Pour les clés d'accès créées dans Chrome sur d'autres plates-formes:
Si la clé d'accès est créée dans Chrome sur d'autres plates-formes (Mac, iOS, Windows), non. Consultez les environnements compatibles pour en savoir plus. En attendant, les utilisateurs peuvent utiliser le téléphone sur lequel ils ont créé la clé d'accès pour se connecter.
Qu'advient-il des identifiants créés avant l'introduction des clés d'accès ? Pouvons-nous continuer à les utiliser ?
Oui. Sur Chrome et Android, les identifiants liés à l'appareil créés avant l'activation de la synchronisation sont disponibles et peuvent toujours être utilisés pour l'authentification.
Que se passe-t-il si un utilisateur perd son appareil ?
Les clés d'accès créées sur Android sont sauvegardées et synchronisées avec les appareils Android connectés au même compte Google, de la même manière que les mots de passe sont sauvegardés dans le gestionnaire de mots de passe.
Cela signifie que les clés d'accès de l'utilisateur l'emportent lorsqu'il remplace son appareil. Pour se connecter à des applications sur un nouveau téléphone, l'utilisateur n'a qu'à valider son identité à l'aide du verrouillage de l'écran de son appareil existant.
La connexion biométrique ainsi que le verrouillage de l'écran par code ou schéma de l'appareil sont-ils nécessaires pour la connexion à l'aide de clés d'accès, ou l'une de ces options est-elle suffisante ?
Une seule méthode de verrouillage de l'écran suffit.
Une clé d'accès est-elle liée à une méthode de verrouillage de l'écran spécifique (empreinte digitale, code ou schéma, par exemple) ?
Cela dépend de la plate-forme de l'appareil et de la façon dont l'utilisateur procède à la validation. Dans le cas du Gestionnaire de mots de passe de Google, les clés d'accès ne sont liées à aucune méthode d'authentification spécifique et peuvent être utilisées avec n'importe quel facteur de verrouillage de l'écran disponible (biométrique, code ou schéma).
Un tiers assujetti à des restrictions peut-il toujours créer des identifiants liés à l'appareil qui ne sont pas synchronisés ?
Pour le moment, les identifiants non visibles créés dans Chrome sur Android ou dans une application Android à l'aide des API des services Play conservent leur comportement existant et continuent donc d'être liés à l'appareil.
Lorsque vous utilisez des clés d'accès, l'extension de clé publique de l'appareil en cours de développement est une seconde clé associée à l'appareil qui ne sera pas synchronisée et qui peut être utilisée pour l'analyse des risques. Toutefois, cela n'est pas encore pris en charge par les fournisseurs d'identifiants.
Comment fonctionne la synchronisation de clés d'accès sur un nouvel appareil ? Les utilisateurs doivent-ils avoir accès à l'appareil sur lequel ils ont créé une clé d'accès ?
Sur Android :
Si les clés d'accès ont été enregistrées dans le Gestionnaire de mots de passe de Google, l'utilisateur n'a plus qu'à se connecter au nouvel appareil avec le même compte Google et à effectuer la validation avec le verrouillage de l'écran de son ancien appareil (code, schéma ou code secret). L'appareil précédent n'est pas nécessaire pour que l'utilisateur se connecte à d'autres appareils.
Si les clés d'accès ont été enregistrées dans un autre fournisseur d'identifiants, cela dépendra des flux de connexion des nouveaux appareils de ce fournisseur. La plupart des fournisseurs d'identifiants synchronisent les identifiants avec le cloud et permettent aux utilisateurs d'y accéder sur de nouveaux appareils après s'être authentifiés.
Confidentialité et sécurité
Les informations biométriques de l'utilisateur sont-elles en sécurité ?
Oui, les données biométriques de l'utilisateur ne quittent jamais l'appareil et ne sont jamais stockées sur un serveur central où elles pourraient être volées lors d'une violation.
Un utilisateur peut-il se connecter à l'appareil d'un ami à l'aide d'une clé d'accès sur son téléphone ?
Oui. Les utilisateurs peuvent configurer une "association à usage unique" entre leur téléphone et l'appareil d'une autre personne afin de se connecter.
Les clés d'accès stockées dans le Gestionnaire de mots de passe de Google sont-elles protégées en cas de piratage du compte Google d'un utilisateur ?
Oui, les secrets de clé d'accès sont chiffrés de bout en bout. Un compte Google dont la sécurité est compromise n'expose pas les clés d'accès, car les utilisateurs doivent également déverrouiller l'écran de leur appareil Android pour les déchiffrer.
Articles associés
Quelle est la différence entre les clés d'accès et la fédération d'identité ?
La fédération d'identité est idéale pour l'inscription à un service, car elle renvoie des informations de profil de base de l'utilisateur, telles que son nom et son adresse e-mail validée, ce qui permet d'amorcer la création de comptes. Les clés d'accès sont idéales pour simplifier la reauthentication des utilisateurs.