Google transforme n’importe quel smartphone Android (à partir de la version 7.0) en clé de validation deux étapes. Le principe est simple : il suffit de s’identifier sur l’appareil mobile pour déverrouiller sur son ordinateur un des services web compatibles.
À l’heure actuelle, cette nouvelle méthode de sécurité se limite à G Suite, Gmail, Google Cloud et aux comptes Google. À terme, c’est à dire une fois que le système sera suffisamment robuste, le moteur de recherche prévoit d’autoriser des services tiers à utiliser ce nouveau processus.
S’il faut posséder un smartphone Android pour s’identifier, l’ordinateur peut être un PC sous Windows ou ChromeOS, ou encore un Mac, du moment que Chrome soit installé. Le service est déjà disponible, il faut se rendre sur la page myaccount.google.com/security, cliquer sur Validation en deux étapes et ajouter le smartphone qui fera office de clé de sécurité.
L’ordinateur et le smartphone/clé de validation ne doivent pas être trop éloignés l’un de l’autre, puisqu’ils communiquent par Bluetooth. Avec un Pixel 3, qui embarque une puce de sécurité Titan M, il suffit de cliquer sur le bouton de volume pour s’identifier. Sur les autres appareils mobiles, il faut s’identifier de manière traditionnelle.
Ce nouveau service s’appuie sur les standards FIDO et WebAuthn, ce dernier ayant été officiellement adopté par le W3C début mars.
