Les passkeys fonctionnent-ils en mode de navigation privée ?

De plus en plus d'entreprises intègrent les passkeys dans leurs sites web et applications. Ce faisant, de nombreux développeurs de logiciels et chefs de produit se demandent si les passkeys fonctionnent en mode de navigation privée ou incognito, car cela a une influence majeure sur l'expérience utilisateur globale.

Dans cet article de blog, nous tentons de répondre aux questions suivantes :

1. Les passkeys fonctionnent-ils en mode de navigation privée / incognito ?
2. Quel est le comportement de l'authentification par passkey en mode de navigation privée / incognito sur Chrome, Safari, Edge et Firefox ?

Ces connaissances garantissent une expérience utilisateur fluide sur différents navigateurs et systèmes d'exploitation, positionnant votre application à la pointe de la sécurité et de la commodité.

Les passkeys sont essentiellement des clés cryptographiques utilisées pour authentifier les utilisateurs sans avoir besoin de mots de passe traditionnels. Ils offrent une sécurité renforcée en éliminant les risques associés au vol de mots de passe et aux attaques de phishing.

En règle générale, les passkeys sont stockés de manière sécurisée sur l'appareil, et leur fonctionnalité reste la même, même en mode de navigation privée ou incognito, pour la plupart des systèmes d'exploitation, à l'exception de Windows 10 (voir ci-dessous), à condition que l'appareil soit compatible avec les passkeys.

Les modes de navigation privée ou incognito sont couramment utilisés pour naviguer sur Internet sans laisser de traces. Cette fonctionnalité est précieuse pour les utilisateurs qui accordent la priorité à la confidentialité, et il est essentiel que les méthodes d'authentification, telles que les passkeys, fonctionnent de manière transparente dans ces modes.

Cependant, dans l'histoire du développement de WebAuthn, il y a eu des discussions et des améliorations continues, car le comportement était auparavant assez déroutant et incohérent entre les systèmes d'exploitation et les navigateurs (voir ces anciennes discussions et rapports de bogues pour référence ici, ici et ici).

Comprendre le comportement des passkeys sur différents navigateurs et systèmes d'exploitation aide à garantir la compatibilité et une expérience utilisateur fluide.

Les passkeys fonctionnent-ils en mode de navigation privée / incognito ?

Sur Windows 10 (22H2), nous avons découvert la seule exception où les passkeys ne fonctionnent pas de manière fiable et avons obtenu les deux captures d'écran suivantes en essayant d'utiliser un authentificateur de plateforme (Windows Hello) :

Message d'erreur de passkey en mode Incognito de Chrome sur Windows 10

Message d'erreur de passkey en mode InPrivate d'Edge sur Windows 10

Lorsque nous sommes passés en mode de navigation normal, tout a fonctionné comme prévu, le message d'erreur dans la fenêtre contextuelle est donc trompeur.

De plus, si nous essayions d'utiliser un authentificateur multiplateforme (par exemple, une clé de sécurité matérielle, comme une YubiKey, ou l'authentification inter-appareils via code QR / Bluetooth), cela fonctionnait.

En examinant le problème de plus près et en exécutant les deux commandes suivantes dans la console du navigateur pour déterminer si l'authentificateur de plateforme (PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable()) et l'interface utilisateur conditionnelle (PublicKeyCredential.isConditionalMediationAvailable()) étaient disponibles, nous avons fait une découverte intéressante : la première promesse renvoyait false, tandis que la seconde renvoyait true, ce qui n'avait aucun sens, car les authentificateurs de plateforme sont nécessaires au fonctionnement de l'interface utilisateur conditionnelle.

À partir de Chrome 129 (et de manière similaire dans Edge, qui est basé sur Chromium), PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable() renvoie true même en mode Incognito / InPrivate sur Windows 10. Auparavant, cette valeur était false en mode incognito. Bien que la valeur renvoyée soit maintenant true, l'authentificateur de plateforme reste indisponible pour la création de nouveaux passkeys, ce qui entraîne une interruption du parcours utilisateur.

Voici un tableau qui montre les valeurs de retour de PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable() sur Windows 10 dans différentes versions et modes de Chrome/Edge :

Comportement observé :

• Dans Chrome/Edge en mode Incognito sur Windows 10, bien que la promesse renvoie true, l'authentificateur de plateforme n'apparaît pas pour la création de passkeys.
• Les utilisateurs sont plutôt invités à ajouter une clé de sécurité (par exemple, une YubiKey)
• Bien que les clés de sécurité matérielles fonctionnent toujours pour la création de passkeys, ce n'est pas le flux attendu lors de l'utilisation d'authentificateurs de plateforme tels que Windows Hello.

Impact du changement : Cela interrompt de fait le flux d'ajout de passkeys à l'authentificateur de plateforme en mode Incognito/InPrivate. L'ajustement dans Chrome 129+ a été principalement effectué pour activer la fonctionnalité de connexion avec des passkeys en mode Incognito. Les flux de connexion utilisent le même mécanisme de détection pour vérifier la prise en charge des passkeys (PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable()), et ce changement garantit que les connexions peuvent se dérouler sans problème. Cependant, la conséquence involontaire est une expérience dégradée pour la création de passkeys avec l'authentificateur de plateforme dans les modes de navigation privée.

De plus amples détails sur ce changement peuvent être trouvés dans la revue du code source de Chromium et la discussion associée sur le suivi des problèmes. Pour les sites web qui souhaitent offrir un support optimal pour les passkeys, la détection du mode incognito est actuellement le seul moyen de contourner ce problème. En identifiant quand un utilisateur est en mode Incognito/InPrivate sur Windows 10 avec Chrome/Edge, les sites web peuvent éviter de manière préventive de proposer des options d'authentificateur de plateforme pour la création de passkeys.

Lors de l'utilisation de Windows Hello comme authentificateur de plateforme, une fenêtre contextuelle de sécurité apparaît lors de la création d'un passkey en mode incognito (sur Chrome) / en mode inPrivate (sur Edge), avertissant les utilisateurs que le passkey sera stocké et utilisable ultérieurement en mode de navigation non-privée (ce comportement a été testé sur Windows 11 22H2). Compte tenu de l'un des cas d'utilisation du mode incognito, où un utilisateur souhaite créer un compte sans laisser de trace d'information, cet avertissement est logique.

Sur Android et en utilisant le mode incognito (sur Chrome) / le mode inPrivate (sur Edge), le comportement est similaire à celui de Windows 11, car une fenêtre contextuelle d'information s'affiche pour informer l'utilisateur que le passkey sera enregistré dans le gestionnaire de mots de passe et que toute personne ayant accès au gestionnaire de mots de passe aura également accès au passkey.

En résumé, les passkeys fonctionnent de manière fiable dans les modes incognito et de navigation privée sur les principaux navigateurs et systèmes d'exploitation, avec quelques exceptions spécifiques sur Windows 10 pour la création de passkeys. En s'appuyant sur les solutions de Corbado, les développeurs peuvent mettre en œuvre les passkeys efficacement, et les chefs de produit peuvent améliorer l'expérience utilisateur sans compromettre la sécurité.