Cette page a été traduite par l'API Cloud Translation.

Questions fréquentes (FAQ)

Général

Qui gère les clés d'accès ?

Comme les clés d'accès sont basées sur les normes FIDO, elles fonctionnent sur Android et Chrome, ainsi que sur de nombreux autres écosystèmes et navigateurs courants tels que Microsoft Windows, Microsoft Edge, macOS, iOS et Safari.

Consultez la section Environnements compatibles pour vérifier l'état de la compatibilité avec Chrome et Android.

Les clés d'accès fonctionnent-elles sur les appareils sur lesquels aucune méthode de verrouillage de l'écran n'est configurée ?

Cela dépend de l'implémentation du gestionnaire de mots de passe, qu'un fournisseur d'identifiants permette la création et l'authentification d'une clé d'accès sans problème de facteur de connaissance des utilisateurs. Les fournisseurs peuvent inviter les utilisateurs à configurer un code PIN ou un verrouillage d'écran biométrique avant de créer une clé d'accès.

Comment les clés d'accès enregistrées sur une plate-forme (comme Android) peuvent-elles être utilisées pour se connecter à d'autres plates-formes (comme Web ou iOS) ?

Par exemple, une clé d'accès enregistrée sur Android peut être utilisée pour se connecter à d'autres plates-formes en connectant le téléphone Android à un autre appareil. Pour établir une connexion entre les deux appareils, l'utilisateur doit ouvrir le site auquel il tente de se connecter sur un appareil qui n'a pas de clé d'accès enregistrée, scanner un code QR, puis confirmer la connexion sur l'appareil sur lequel il a créé la clé d'accès (dans ce cas, l'appareil Android). La clé d'accès ne quitte jamais l'appareil Android. Par conséquent, les applications suggèrent généralement de créer une clé d'accès sur l'autre appareil pour faciliter la connexion la prochaine fois. Ce flux fonctionne également de la même façon pour les autres plates-formes.

Puis-je déplacer des clés d'accès synchronisées d'un fournisseur de plate-forme à un autre ?

Les clés d'accès sont enregistrées auprès du fournisseur d'identifiants défini par la plate-forme. Certaines plates-formes, comme Android, permettent aux utilisateurs de choisir le fournisseur de leur choix (un système de gestionnaire de mots de passe tiers) à partir d'Android 14, qui peut synchroniser les clés d'accès sur différentes plates-formes. Il n'est pas possible de déplacer des clés d'accès directement d'un fournisseur de plate-forme à un autre pour le moment.

Un utilisateur peut-il synchroniser ses clés d'accès sur des appareils Android autres que Google ?

Les clés d'accès ne sont synchronisées que dans l'écosystème de l'appareil (par exemple, Android vers Android avec le Gestionnaire de mots de passe de Google par défaut), mais pas dans l'écosystème.

Android ouvre la plate-forme (à partir d'Android 14) et permet aux utilisateurs de sélectionner le fournisseur d'identifiants qu'ils souhaitent utiliser (un gestionnaire de mots de passe tiers, par exemple). Cela permettra d'utiliser des cas d'utilisation tels que la synchronisation de clés d'accès entre différents écosystèmes (en fonction de l'ouverture d'autres plates-formes).

Que doivent faire les développeurs concernant les appareils et les plates-formes non compatibles avec les clés d'accès ?

Il est recommandé aux développeurs de conserver les options de connexion existantes dans leur application pour le moment afin qu'ils restent disponibles pour les appareils et les surfaces qui ne sont pas compatibles avec les clés d'accès.

Une clé d'accès peut-elle expirer ?

Non. Cela dépend du fournisseur qui stocke les clés d'accès et de la clé d'accès (tiers de confiance), mais il n'est pas courant d'expirer les clés d'accès.

Une RP peut-elle spécifier un compte avec lequel l'utilisateur peut se connecter ?

Les tiers de confiance (applications tierces) peuvent renseigner les allowCredentials avec la liste des identifiants envoyés depuis leur backend d'applications et indiquant les clés d'accès à utiliser pour authentifier l'utilisateur.

Clés d'accès sur Android et Chrome

Les applications Android peuvent-elles utiliser des clés d'accès créées dans Chrome pour l'authentification ?

Pour les clés d'accès créées dans Chrome sur Android:

Oui, les clés d'accès créées dans Chrome sont enregistrées dans le Gestionnaire de mots de passe Google et disponibles sur Android, et inversement lorsque les utilisateurs sont connectés au même compte Google.

Remarque :La première étape pour activer la prise en charge des clés d'accès pour votre application Android consiste à associer votre application et le site Web. Pour cela, hébergez un fichier JSON Digital Asset Links sur votre site Web et ajoutez un lien vers le fichier Digital Asset Link dans le fichier manifeste de votre application. Cela démontre que vous êtes le propriétaire du site Web et de l'application. Pour en savoir plus, consultez la documentation sur Digital Asset Links.
Pour les clés d'accès créées dans Chrome sur d'autres plates-formes:

Si la clé d'accès est créée dans Chrome sur d'autres plates-formes (Mac, iOS, Windows), consultez les environnements compatibles pour en savoir plus. En attendant, les utilisateurs peuvent utiliser le téléphone sur lequel ils ont créé la clé d'accès pour se connecter.

Qu'advient-il des identifiants créés avant l'introduction des clés d'accès ? Pouvons-nous continuer à les utiliser ?

Oui, sur Chrome et Android, les identifiants liés à l'appareil créés avant l'activation de la synchronisation sont disponibles et peuvent toujours être utilisés pour l'authentification.

Que se passe-t-il si un utilisateur perd son appareil ?

Les clés d'accès créées sur Android sont sauvegardées et synchronisées avec des appareils Android connectés au même compte Google, de la même manière que les mots de passe sont sauvegardés dans le gestionnaire de mots de passe.

Cela signifie que les clés d'accès de l'utilisateur lui sont remises lorsqu'il les remplace. Pour se connecter à des applications sur un nouveau téléphone, il suffit à l'utilisateur de valider son identité à l'aide du verrouillage de l'écran de son appareil existant.

Est-il nécessaire de configurer à la fois l'authentification biométrique et le code, ou le verrouillage de l'écran à l'aide d'une clé d'accès, ou l'un de ces deux paramètres est-il suffisant ?

Une méthode de verrouillage de l'écran suffit.

Une clé d'accès est-elle associée à une méthode spécifique de verrouillage de l'écran, comme l'empreinte, le code ou le schéma ?

Cela dépend de la plate-forme de l'appareil et de la façon dont les utilisateurs effectuent la validation des utilisateurs. Dans le cas du Gestionnaire de mots de passe de Google, les clés d'accès ne sont associées à aucune méthode d'authentification spécifique et peuvent être utilisées avec n'importe quel facteur de verrouillage d'écran disponible (biométrique, code ou schéma).

Une RP peut-elle toujours créer des identifiants liés à l'appareil qui ne sont pas synchronisés ?

Pour le moment, les identifiants non visibles créés dans Chrome sur Android ou dans une application Android à l'aide des API des services Play conservent leur comportement existant et sont donc toujours liés à l'appareil.

Lorsque vous utilisez des clés d'accès, l'extension de clé publique de l'appareil est en cours de développement. Il s'agit d'une deuxième clé liée à l'appareil qui n'est pas synchronisée et qui peut être utilisée pour l'analyse des risques. Toutefois, cela n'est pas encore pris en charge par les fournisseurs d'identifiants.

Comment fonctionne la synchronisation des clés d'accès sur un nouvel appareil ? Les utilisateurs doivent-ils avoir accès à l'appareil sur lequel ils ont créé une clé d'accès ?

Sur Android :

Si les clés d'accès ont été enregistrées dans le Gestionnaire de mots de passe de Google, il suffit à l'utilisateur de se connecter sur le nouvel appareil avec le même compte Google et de les valider avec le verrouillage de l'écran de l'appareil précédent (code, schéma ou code secret). L'appareil précédent n'est pas nécessaire pour que l'utilisateur puisse se connecter à d'autres appareils.
Si les clés d'accès ont été enregistrées auprès d'un autre fournisseur d'identifiants, cela dépend des flux de connexion sur les nouveaux appareils de ce fournisseur. La plupart des fournisseurs d'identifiants synchronisent les identifiants avec le cloud et proposent aux utilisateurs un moyen d'y accéder sur de nouveaux appareils après s'être authentifiés.

Confidentialité et sécurité

Les informations biométriques de l'utilisateur sont-elles sécurisées ?

Oui, les données biométriques des utilisateurs ne quittent jamais l'appareil et ne sont jamais stockées sur un serveur central où elles peuvent être volées lors d'une violation.

Un utilisateur peut-il se connecter à l'appareil d'un ami à l'aide d'une clé d'accès sur son téléphone ?

Oui. Les utilisateurs peuvent configurer un lien à usage unique entre leur téléphone et l'appareil de quelqu'un d'autre pour se connecter.

Les clés d'accès stockées dans le Gestionnaire de mots de passe de Google sont-elles protégées si la sécurité du compte Google d'un utilisateur est compromise ?

Oui, les secrets de la clé d'accès sont chiffrés de bout en bout. Un compte Google compromis n'expose pas de clés d'accès, car les utilisateurs doivent également déverrouiller l'écran de leur appareil Android pour les déchiffrer.

Articles associés

Différences entre les clés d'accès et la fédération d'identité

La fédération d'identité est idéale pour s'inscrire à un service, car elle renvoie les informations de base de l'utilisateur telles que son nom et son adresse e-mail validée, ce qui permet de démarrer de nouveaux comptes. Les clés d'accès sont idéales pour simplifier la réauthentification des utilisateurs.