Les passkeys sans biométrie ? Est-ce que ça fonctionne ?

Oui, les passkeys peuvent fonctionner sans biométrie en utilisant des authentificateurs locaux comme des codes PIN, des schémas ou des mots de passe d'appareil. Ces méthodes fournissent une authentification sécurisée lorsque les options biométriques comme la reconnaissance d'empreintes digitales ou faciale ne sont pas disponibles. Les passkeys s'appuient sur l'authentificateur local de l'appareil, qui est configuré par l'utilisateur et non contrôlé par la partie de confiance.

---

Les passkeys reposent sur WebAuthn, une norme pour l'authentification sans mot de passe. Généralement, les passkeys utilisent un authentificateur local pour la vérification de l'utilisateur. Lorsque la biométrie, comme la reconnaissance d'empreintes digitales ou faciale, n'est pas disponible, l'authentificateur local fournit une méthode d'authentification alternative.

Un authentificateur local est un mécanisme sur votre appareil qui vérifie votre identité. Les exemples incluent (tous non biométriques) :

• Codes PIN - Un code numérique que vous saisissez pour déverrouiller votre appareil.
• Schémas - Un motif de balayage dessiné sur un écran tactile.
• Mots de passe d'appareil - Des mots de passe alphanumériques utilisés pour l'accès à l'appareil.
• Verrouillages d'écran - Tout autre mécanisme qui restreint l'accès à l'appareil.

1. Configuration par l'utilisateur : L'utilisateur configure son authentificateur local sur son appareil.
2. Création du passkey : L'appareil génère une paire de clés cryptographiques lors de la configuration du compte.
   • La clé privée est stockée de manière sécurisée sur l'appareil.
   • La clé publique est partagée avec le service (partie de confiance).
3. Authentification : Lorsque l'utilisateur tente de se connecter :
   • La partie de confiance envoie un défi à l'appareil.
   • L'appareil utilise la clé privée pour signer le défi.
   • L'authentificateur local (par ex., PIN, schéma) vérifie l'identité de l'utilisateur avant de signer.

• Accessibilité : Permet aux utilisateurs sans appareils compatibles avec la biométrie d'utiliser les passkeys.
• Sécurité : Les authentificateurs locaux sont liés à l'appareil et ne peuvent pas être interceptés à distance.
• Contrôle de l'utilisateur : Les utilisateurs peuvent choisir la méthode avec laquelle ils sont le plus à l'aise, ce qui améliore les taux d'adoption.

Non, les développeurs et les parties de confiance ne peuvent pas contrôler directement le type d'authentificateur local utilisé. Celui-ci est déterminé par la configuration de l'appareil de l'utilisateur. Cependant, les développeurs peuvent concevoir des parcours utilisateur qui expliquent clairement le processus et guident les utilisateurs pour configurer un authentificateur local s'il n'en existe pas déjà un.

Les passkeys sans biométrie offrent inclusivité et flexibilité. Tous les utilisateurs n'ont pas accès aux dernières technologies biométriques, mais ils peuvent tout de même bénéficier de la sécurité et de la commodité de l'authentification sans mot de passe grâce à des alternatives comme les codes PIN et les schémas.

---