Connexion sans mot de passe avec Google Workspace

Google vient de lancer l'authentification par passkey en bêta ouverte pour les comptes Google Workspace. Cette fonctionnalité renforce la protection contre des menaces comme le phishing, tout en simplifiant la connexion. Les utilisateurs inscrits saisissent l'adresse e-mail de leur compte Google, puis sont invités à finaliser l'authentification sur un appareil enregistré comme passkey sur leur compte.

Invite de connexion avec authentification sans mot de passe.

L'authentification par passkey constitue la première étape vers une connexion sans mot de passe avec les comptes Google Workspace. Une fois activée, les utilisateurs Google peuvent se connecter via la reconnaissance faciale, l'empreinte digitale, un code PIN ou le verrouillage d'écran de l'appareil servant de passkey. Activer l'authentification sans mot de passe ne supprime pas pour autant la méthode classique. L'un des principaux atouts de la passkey, c'est que dans la plupart des cas, les utilisateurs n'ont plus à mémoriser leur mot de passe ni à le copier-coller depuis un gestionnaire. Si l'appareil passkey est perdu ou inaccessible au moment de la connexion, l'utilisateur peut cliquer sur l'option Essayer une autre méthode pour revenir au mot de passe associé à la validation en deux étapes. Cette option est utile, par exemple, pour se connecter à un compte Google sur une machine virtuelle ou un appareil distant.

Pour les administrateurs, on peut aussi voir cette fonctionnalité ainsi : dès qu'un utilisateur enregistre une passkey sur son compte Google, chaque tentative d'authentification auprès de Google Workspace déclenche l'envoi d'une invite sur son appareil enregistré. Cet appareil est sécurisé par un mot de passe ou un autre type de verrouillage d'écran, condition indispensable pour servir de passkey. L'utilisateur accède à son compte s'il a l'appareil passkey en sa possession et s'il parvient à le déverrouiller via le mécanisme configuré. Plus besoin de saisir le mot de passe Google, puisqu'un appareil de second facteur fait office de passkey et que cet appareil est sécurisé par l'utilisateur via un verrouillage d'écran avant toute connexion sans mot de passe.

À l'heure où nous écrivons ces lignes, l'authentification par passkey n'est pas proposée lors de l'ajout d'un compte Google sur un appareil mobile, et son utilisation peut être impossible selon le système d'exploitation et le navigateur utilisés en mode de navigation privée (mode incognito ou équivalent).

Invite Essayer une autre méthode pour se connecter avec un mot de passe et la validation en deux étapes.

1. Les administrateurs doivent autoriser la connexion sans mot de passe depuis la console d'administration.
2. Les comptes Google Workspace doivent utiliser Google comme fournisseur d'identité. L'authentification par passkey Google ne s'applique pas lorsque les utilisateurs se connectent via un fournisseur d'identité tiers.
3. Les ordinateurs et appareils mobiles des utilisateurs doivent disposer d'un navigateur compatible, par exemple :

• Chrome 109 ou version ultérieure
• Safari 16 ou version ultérieure
• Edge 109 ou version ultérieure

4. Les passkeys peuvent être créées sur les appareils suivants :

• Un ordinateur portable ou de bureau sous Windows 10, macOS Ventura ou ChromeOS 109 au minimum
• Un appareil mobile sous iOS 16 ou Android 9 au minimum
• Une clé de sécurité matérielle compatible avec le protocole FIDO2

5. Pour créer et utiliser une passkey, l'appareil doit avoir un verrouillage d'écran activé, ainsi que le Bluetooth si vous souhaitez vous servir d'une passkey sur un mobile pour vous connecter depuis un autre ordinateur.

Activer la fonctionnalité et enregistrer des passkeys

Les administrateurs Google Workspace doivent activer la fonctionnalité de connexion sans mot de passe depuis la console d'administration Google Workspace, par unités organisationnelles (OU) ou par groupes. Un court délai de propagation s'écoule entre l'autorisation du mécanisme et l'apparition de l'option côté utilisateurs.

Paramètres Sans mot de passe (Bêta) dans la console d'administration.

Une fois la connexion sans mot de passe activée depuis la console d'administration, les utilisateurs peuvent se rendre sur https://g.co/passkeys pour consulter, créer et supprimer les passkeys associées à leur compte. Par mesure de sécurité, les passkeys ne devraient être créées que sur des appareils personnels, car toute personne pouvant déverrouiller l'appareil passkey pourra se connecter aux comptes Google qui y sont associés. La connexion par passkey ne peut pas être imposée pour l'instant, mais elle peut être proposée aux utilisateurs comme option pour accéder à leur compte Google.

Consulter et modifier les passkeys de votre compte Google.

Une fois la passkey enregistrée, les utilisateurs adoptent une expérience de connexion sans mot de passe, où la passkey passe en premier. Un paramètre individuel est disponible sur https://myaccount.google.com/security pour ignorer l'authentification par mot de passe lorsque c'est possible et se connecter uniquement avec une passkey ou une invite de l'appareil.

Option permettant d'ignorer le mot de passe lorsque c'est possible.

Conclusion

La nouvelle option d'authentification sans mot de passe pour les comptes Google est désormais disponible en bêta ouverte, pour les comptes personnels comme professionnels. L'activer permet de renforcer la sécurité des comptes et de fluidifier la connexion. Google fait partie des nombreux fournisseurs cloud à proposer ce type d'authentification ; la liste des autres fournisseurs ayant déployé la connexion sans mot de passe est consultable sur https://passkeys.directory/ (site maintenu par 1Password.com).