Les services Microsoft embrassent un avenir sans mot de passe

15 septembre 2021 à 18h30
14
Microsoft Logo © JPstock / Shutterstock.com
© Microsoft

Dans un post de blog, Liat Ben-Zur, vice-présidente chez Microsoft, a détaillé comment l'entreprise compte éliminer les mots de passe des connexions à ses services.

Dès à présent, il est possible de choisir de supprimer son mot de passe de son compte Microsoft et de privilégier un autre mode de connexion.

Les mots de passe faibles, un risque de sécurité

Les mots de passe, que ce soit au sein des entreprises ou au quotidien, ont toujours été un problème dans la sécurité informatique. D'après Microsoft, 579 attaques de mots de passe sont réalisées chaque seconde. Un nombre qui peut paraître très élevé, mais qui est pourtant logique quand on sait que la plupart des personnes n'utilisent pas de gestionnaire de mots de passe et les créent donc en s'appuyant sur des éléments personnels, comme les noms de leurs animaux de compagnie ou des anniversaires, afin de les retenir. Les mots de passe sont, par conséquent, souvent le premier vecteur d'attaque choisi par des acteurs malveillants.

Plutôt que de se battre contre la nature humaine, Microsoft a décidé de donner le choix de supprimer les mots de passe. À la place, il est désormais possible de choisir entre plusieurs façons pour se connecter aux services de l'entreprise : soit en utilisant Microsoft Hello, soit en utilisant l'application mobile Microsoft Authenticator, soit encore à l'aide d'un code de vérification envoyé sur votre numéro de téléphone ou votre adresse mail.

Une option déjà disponible

La fonctionnalité est déjà disponible depuis mars pour les entreprises, et la firme de Redmond affirme avoir reçu un feedback très positif de leur part. Si vous souhaitez tenter l'aventure, il vous faudra télécharger l'application Microsoft Authenticator, puis aller dans les paramètres de votre compte > Sécurité > Options de sécurité avancées > Compte sans mot de passe. Vous pourrez faire marche arrière de la même façon si vous souhaitez faire revenir les mots de passe dans votre vie.

Si Microsoft Hello, une application d'authentification ou une clé de sécurité physique peuvent être effectivement plus sûrs que des mots de passe faibles et réutilisés ailleurs, il est surprenant que Microsoft considère un simple code de validation comme une alternative sécurisée. Des attaques de type social engineering, où un attaquant se fait passer pour sa victime auprès de l'opérateur mobile de celle-ci et réussit à récupérer un accès à son numéro de téléphone, sont régulièrement documentées. Il est donc conseillé d'éviter cette méthode de connexion.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
14
11
ouchdinw
«&nbsp;…une clé de sécurité physique…&nbsp;»<br /> Que se passe il en cas de cassé ou de pertes de la clé , on va chez le cyber serrurier ?
TNZ
Pas de mot de passe, pas de mot de passe … toujours est il qu’ils nous jambonnent bien avec leur double-authent’ à toutes les sauces.<br /> J’ai une partie de mes appareils qui ne supportent pas la plaisanterie. Bon, ceci dit c’est pour Office3615 du taf (y’a pas de chiffre en trop).<br /> « Marche pas ? … Tant pis ! »
Fodger
Perds ton mobile, tu l’as bien profond.
marc6310
Non car clé de récupération dans le cas d’une application d’authentification mais de toutes manières, Microsoft donne ici plusieurs possibilités et deux d’entre elles ne nécessitent pas de mobile
Lepered
Il reste toujours l’option d’employé une autre méthode. Il faut juste avoir noté le MDP quelque part parce que après plusieurs mois voir années sans l’utiliser, il y a peu de chance de s’en rappeler
Fodger
La question ne se limite pas à Micro$oft, mais aux services distants en général.<br /> Aujourd’hui de plus en plus de banque t’oblige à passer par ton mobile pour valider la transaction. Sauf que le jour où tu es bloqué, sans mobile tu ne peux plus faire grand chose c’est un vrai problème.
vVD
Il faut être connecté, ça va coûter une blinde quand on voyage…<br /> Si ce n’était pas dans le cloud, il n’y aurait aucun problème…<br /> Mais le but est de maximiser les chances d’être éligible au Cloud Act, l’espionnage industriel en grand.
Oli1
Sinon il existe Authy, application de double authentification gratuite, qui permet la sauvegarde du compte en local (très utile si, justement, l’on perd son mobile).
mrassol
faut envoyer un courrier électronique, sans s’électrocuter en léchant l’enveloppe
jvachez
Ces nouvelles sécurités sont en réalité très dangereuses pour les utilisateurs et ont très souvent des conséquences plus graves que le faible risque d’avoir son mot de passe volé.<br /> Un changement de téléphone ou de numéro de téléphone peut faire perdre l’accès à des comptes si l’utilisateur ne pense pas à faire le nécessaire sur tous les services à double authentification avant de réinitialiser son téléphone, le changer ou de résilier son numéro car toute la sécurité est basée sur un élément qui n’est plus à la disposition de l’utilisateur.<br /> Il y a d’ailleurs des cas similaires même si ce n’est pas de la double authentification avec Orange qui supprime les boites mails après résiliation et empêche de recevoir des mails de confirmation exigés par certains services.
marc6310
Les services en général (puisque tu veux généraliser quand bien même c’est pas aussi facile) c’est pareil soit tu reçois le code sur mobile ou par e-mail pour les plus light en terme de mise en place du 2FA sinon une application d’authentification a toujours un code de récupération. Parfois même les applications et services eux même disposent d’une code de récupération en plus.<br /> @ jvachez<br /> Les applications d’authentification peuvent être proposées en version «cloud» par exemple j’utilise bitwarden en version premium avec la gestion 2FA et bien si je perd mon téléphone je n’ai qu’a invalider le token d’accès de l’app mobile depuis l’interface web et continuer à utiliser celle ci pour mes codes d’authentification ou l’extension web et puis quand j’aurais de nouveau un mobile réinstaller l’app bitwarden. Comme quoi y’a pas photo sur la sécurité d’un mot de passe classique et d’un mot de passe fort + 2FA.
Francis7
Un seul mot de passe pour tous les sites ou presque :<br /> au moins 8 caractères voire 10<br /> au moins une majuscule<br /> au moins un chiffre<br /> Sur Apple, c’est encore plus simplifié : c’est le TouchID. Même pour Amazon par exemple, c’est votre mot de passe d’ouverture de session qui remplace le précédent plus compliqué.<br /> Les services de paiement en ligne ou plutôt votre banque vous demande(nt) en plus une confirmation par code SMS. C’est lourd tout cela.<br /> Heureusement à force, la banque vous envoie par voie postale un code unique définitif parce qu’effectivement sans le portable vous ne pouvez rien faire.<br /> C’est gonflant les mots de passe. Sur Linux je me souviens : à une époque on pouvait ouvrir une session en root sans mot de passe. Aujourd’hui on hurlerait je ne sais quoi à ce propos.
Fodger
Je généralise parce que c’est une tendance globale, et la récupération n’est pas toujours là.
Oli1
Il est pourtant si simple d’utiliser un gestionnaire de mots de passe (Bitwarden est excellent et open-source, sinon Keepass, plus technique mais sans doute le plus sécurisé et fiable)…<br /> Et si, comme moi, on ne leur fait pas totalement confiance, rien n’empêche de ne donner qu’une partie de l’information au gestionnaire. Exemple : vous ajoutez au mot de passe un identifiant unique que vous connaissez par coeur. Le gestionnaire ne saura donc pas tout.<br /> Avec Authy en plus pour le 2FA et ses sauvegardes (en plus de pouvoir être utilisé ausr plusieurs périphériques), tout cela facilite la vie et la sécurité.
cyrano66
C’est très bien cette solution supplémentaire.<br /> Les mots de passe c’est la plaie.<br /> Et surtout une sécurité illusoire et hypocrite.<br /> Quant à perdre sa clé, son mdp, son portable, etc. il existe pourtant une solution simple, beaucoup moins de risque de perdre ses doigts ou son visage.
cyrano66
Surtout qu’est admis et accepté :<br /> « Hb$hn78 »<br /> Mais refusé<br /> « Longtemps je me suis levé de bonne heure »<br /> Pourtant le deuxième plus facile à mémoriser me semble plus compliqué à craquer.
Francis7
Oui, c’est refusé en ligne parce qu’il n’y a que 7 caractères.<br /> Mais ça marche pour un mot de passe d’ouverture de session sur son ordinateur. <br /> Dans ce dernier cas, tu peux même faire encore plus simple.
cyrano66
Colles-en 8,10 ou 12 si tu veux.<br /> Mon propos est de dire que les phrases faciles à retenir ne sont pas autorisées alors que les suites complexes impossible à se rappeler sont fortement suggérées.<br /> Quand ton portable te propose un mot de passe super sécurisé du genre :<br /> « evdjx-endox-3enfkc-bekx7-znxk8 »<br /> Objectivement il faut être natif de quelle galaxie pour être capable de le mémoriser sans difficulté ?<br /> Quand on rajoute, que d’après une étude de 2018, un utilisateur lambda gérait en moyenne 184 mots de passe et qu’il est fortement conseillé qu’ils soient tous différents on dépasse de très loin les limites du système par MDP.
TNZ
Pour rebondir sur le TouchID, en cas de corruption (c’est une empreinte), on peut révoquer mais on ne peut pas renouveler. C’est le problème de base de l’authentification biométrique.
Francis7
Tu veux dire par là que si l’empreinte est abimée avec une cicatrice, une blessure récente, cela ne marche plus ?<br /> C’est la question que je me suis toujours posée.<br /> «&nbsp;On ne peut pas renouveler&nbsp;» : cela veut dire que la première empreinte ne peut pas être remplacée par une autre d’un autre doigt ?<br /> Si c’est le cas, il faut faire attention quand on fait la cuisine.
TNZ
Je voulais dire « compromission ». CàD que si tu te fais piquer tes empreintes, tu peux toujours dire aux systèmes d’authentification que tes empreintes ne sont plus sûres … mais tu ne pourras pas enregistrer de nouvelles empreintes.
Voir tous les messages sur le forum

Derniers actualités

Stadia permet à ses joueurs de streamer un jeu en petit comité
Cet ancien employé de Twitter espionnait les utilisateurs pour le compte de l'Arabie saoudite
Cyberharcèlement : en Europe, les parents protègent moins leurs enfants que dans le reste du monde
Apple déploie la 3e bêta publique d'iOS 16, d'iPadOS 16 et de macOS Ventura
Google veut faire de votre TV votre coach sportif
Taïwan a subi un pic de cybermenaces en marge de la visite de l'Américaine Nancy Pelosi
Ce vidéoprojecteur sera parfait pour vos soirées d'été !
Samsung annonce les Galaxy Watch 5 et ses Gala Buds 2 Pro
Vivaldi revient de vacances en version 5.4 sur desktop
Urbanista lance des écouteurs qui ne manquent pas d'autonomie grâce à l'énergie solaire
Haut de page