Les services Microsoft embrassent un avenir sans mot de passe

Fanny Dufour
15 septembre 2021 à 18h30
14
© Microsoft
© Microsoft

Dans un post de blog, Liat Ben-Zur, vice-présidente chez Microsoft, a détaillé comment l'entreprise compte éliminer les mots de passe des connexions à ses services.

Dès à présent, il est possible de choisir de supprimer son mot de passe de son compte Microsoft et de privilégier un autre mode de connexion.

Lire aussi :
Windows 11 tire mieux parti du matériel que Windows 10, Microsoft explique pourquoi

Les mots de passe faibles, un risque de sécurité

Les mots de passe, que ce soit au sein des entreprises ou au quotidien, ont toujours été un problème dans la sécurité informatique. D'après Microsoft, 579 attaques de mots de passe sont réalisées chaque seconde. Un nombre qui peut paraître très élevé, mais qui est pourtant logique quand on sait que la plupart des personnes n'utilisent pas de gestionnaire de mots de passe et les créent donc en s'appuyant sur des éléments personnels, comme les noms de leurs animaux de compagnie ou des anniversaires, afin de les retenir. Les mots de passe sont, par conséquent, souvent le premier vecteur d'attaque choisi par des acteurs malveillants.

Plutôt que de se battre contre la nature humaine, Microsoft a décidé de donner le choix de supprimer les mots de passe. À la place, il est désormais possible de choisir entre plusieurs façons pour se connecter aux services de l'entreprise : soit en utilisant Microsoft Hello, soit en utilisant l'application mobile Microsoft Authenticator, soit encore à l'aide d'un code de vérification envoyé sur votre numéro de téléphone ou votre adresse mail.

Lire aussi :
Windows 11 : la dernière version Insider recycle le menu contextuel de la corbeille

Une option déjà disponible

La fonctionnalité est déjà disponible depuis mars pour les entreprises, et la firme de Redmond affirme avoir reçu un feedback très positif de leur part. Si vous souhaitez tenter l'aventure, il vous faudra télécharger l'application Microsoft Authenticator, puis aller dans les paramètres de votre compte > Sécurité > Options de sécurité avancées > Compte sans mot de passe. Vous pourrez faire marche arrière de la même façon si vous souhaitez faire revenir les mots de passe dans votre vie.

Si Microsoft Hello, une application d'authentification ou une clé de sécurité physique peuvent être effectivement plus sûrs que des mots de passe faibles et réutilisés ailleurs, il est surprenant que Microsoft considère un simple code de validation comme une alternative sécurisée. Des attaques de type social engineering, où un attaquant se fait passer pour sa victime auprès de l'opérateur mobile de celle-ci et réussit à récupérer un accès à son numéro de téléphone, sont régulièrement documentées. Il est donc conseillé d'éviter cette méthode de connexion.

Sources : The Verge, Microsoft (1), Microsoft (2)

Fanny Dufour

Fanny Dufour

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numérique...

Lire d'autres articles

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (14)

ouchdinw
«&nbsp;…une clé de sécurité physique…&nbsp;»<br /> Que se passe il en cas de cassé ou de pertes de la clé , on va chez le cyber serrurier ?
TNZ
Pas de mot de passe, pas de mot de passe … toujours est il qu’ils nous jambonnent bien avec leur double-authent’ à toutes les sauces.<br /> J’ai une partie de mes appareils qui ne supportent pas la plaisanterie. Bon, ceci dit c’est pour Office3615 du taf (y’a pas de chiffre en trop).<br /> « Marche pas ? … Tant pis ! »
Fodger
Perds ton mobile, tu l’as bien profond.
marc6310
Non car clé de récupération dans le cas d’une application d’authentification mais de toutes manières, Microsoft donne ici plusieurs possibilités et deux d’entre elles ne nécessitent pas de mobile
Lepered
Il reste toujours l’option d’employé une autre méthode. Il faut juste avoir noté le MDP quelque part parce que après plusieurs mois voir années sans l’utiliser, il y a peu de chance de s’en rappeler
Fodger
La question ne se limite pas à Micro$oft, mais aux services distants en général.<br /> Aujourd’hui de plus en plus de banque t’oblige à passer par ton mobile pour valider la transaction. Sauf que le jour où tu es bloqué, sans mobile tu ne peux plus faire grand chose c’est un vrai problème.
vVD
Il faut être connecté, ça va coûter une blinde quand on voyage…<br /> Si ce n’était pas dans le cloud, il n’y aurait aucun problème…<br /> Mais le but est de maximiser les chances d’être éligible au Cloud Act, l’espionnage industriel en grand.
mrassol
faut envoyer un courrier électronique, sans s’électrocuter en léchant l’enveloppe
jvachez
Ces nouvelles sécurités sont en réalité très dangereuses pour les utilisateurs et ont très souvent des conséquences plus graves que le faible risque d’avoir son mot de passe volé.<br /> Un changement de téléphone ou de numéro de téléphone peut faire perdre l’accès à des comptes si l’utilisateur ne pense pas à faire le nécessaire sur tous les services à double authentification avant de réinitialiser son téléphone, le changer ou de résilier son numéro car toute la sécurité est basée sur un élément qui n’est plus à la disposition de l’utilisateur.<br /> Il y a d’ailleurs des cas similaires même si ce n’est pas de la double authentification avec Orange qui supprime les boites mails après résiliation et empêche de recevoir des mails de confirmation exigés par certains services.
marc6310
Les services en général (puisque tu veux généraliser quand bien même c’est pas aussi facile) c’est pareil soit tu reçois le code sur mobile ou par e-mail pour les plus light en terme de mise en place du 2FA sinon une application d’authentification a toujours un code de récupération. Parfois même les applications et services eux même disposent d’une code de récupération en plus.<br /> @ jvachez<br /> Les applications d’authentification peuvent être proposées en version «cloud» par exemple j’utilise bitwarden en version premium avec la gestion 2FA et bien si je perd mon téléphone je n’ai qu’a invalider le token d’accès de l’app mobile depuis l’interface web et continuer à utiliser celle ci pour mes codes d’authentification ou l’extension web et puis quand j’aurais de nouveau un mobile réinstaller l’app bitwarden. Comme quoi y’a pas photo sur la sécurité d’un mot de passe classique et d’un mot de passe fort + 2FA.
Francis7
Un seul mot de passe pour tous les sites ou presque :<br /> au moins 8 caractères voire 10<br /> au moins une majuscule<br /> au moins un chiffre<br /> Sur Apple, c’est encore plus simplifié : c’est le TouchID. Même pour Amazon par exemple, c’est votre mot de passe d’ouverture de session qui remplace le précédent plus compliqué.<br /> Les services de paiement en ligne ou plutôt votre banque vous demande(nt) en plus une confirmation par code SMS. C’est lourd tout cela.<br /> Heureusement à force, la banque vous envoie par voie postale un code unique définitif parce qu’effectivement sans le portable vous ne pouvez rien faire.<br /> C’est gonflant les mots de passe. Sur Linux je me souviens : à une époque on pouvait ouvrir une session en root sans mot de passe. Aujourd’hui on hurlerait je ne sais quoi à ce propos.
Fodger
Je généralise parce que c’est une tendance globale, et la récupération n’est pas toujours là.
cyrano66
C’est très bien cette solution supplémentaire.<br /> Les mots de passe c’est la plaie.<br /> Et surtout une sécurité illusoire et hypocrite.<br /> Quant à perdre sa clé, son mdp, son portable, etc. il existe pourtant une solution simple, beaucoup moins de risque de perdre ses doigts ou son visage.
cyrano66
Surtout qu’est admis et accepté :<br /> « Hb$hn78 »<br /> Mais refusé<br /> « Longtemps je me suis levé de bonne heure »<br /> Pourtant le deuxième plus facile à mémoriser me semble plus compliqué à craquer.
Francis7
Oui, c’est refusé en ligne parce qu’il n’y a que 7 caractères.<br /> Mais ça marche pour un mot de passe d’ouverture de session sur son ordinateur. <br /> Dans ce dernier cas, tu peux même faire encore plus simple.
cyrano66
Colles-en 8,10 ou 12 si tu veux.<br /> Mon propos est de dire que les phrases faciles à retenir ne sont pas autorisées alors que les suites complexes impossible à se rappeler sont fortement suggérées.<br /> Quand ton portable te propose un mot de passe super sécurisé du genre :<br /> « evdjx-endox-3enfkc-bekx7-znxk8 »<br /> Objectivement il faut être natif de quelle galaxie pour être capable de le mémoriser sans difficulté ?<br /> Quand on rajoute, que d’après une étude de 2018, un utilisateur lambda gérait en moyenne 184 mots de passe et qu’il est fortement conseillé qu’ils soient tous différents on dépasse de très loin les limites du système par MDP.
TNZ
Pour rebondir sur le TouchID, en cas de corruption (c’est une empreinte), on peut révoquer mais on ne peut pas renouveler. C’est le problème de base de l’authentification biométrique.
Francis7
Tu veux dire par là que si l’empreinte est abimée avec une cicatrice, une blessure récente, cela ne marche plus ?<br /> C’est la question que je me suis toujours posée.<br /> «&nbsp;On ne peut pas renouveler&nbsp;» : cela veut dire que la première empreinte ne peut pas être remplacée par une autre d’un autre doigt ?<br /> Si c’est le cas, il faut faire attention quand on fait la cuisine.
TNZ
Je voulais dire « compromission ». CàD que si tu te fais piquer tes empreintes, tu peux toujours dire aux systèmes d’authentification que tes empreintes ne sont plus sûres … mais tu ne pourras pas enregistrer de nouvelles empreintes.
Voir tous les messages sur le forum

Top gestionnaires de mot de passe

NordPass
NordPass Voir l'offre
Dashlane
Dashlane Voir l'offre
1Password
1Password Voir l'offre

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Vous en avez marre des mots passe ? Voici comment les géants de la tech vous proposent de vous en passer Vous en avez marre des mots passe ? Voici comment les géants de la tech vous proposent de vous en passer
Cyber-espionnage d'État : comment Apple veut informer les utilisateurs ciblés Cyber-espionnage d'État : comment Apple veut informer les utilisateurs ciblés
Découvrez comment votre carte SIM pourrait protéger vos données des hackers Découvrez comment votre carte SIM pourrait protéger vos données des hackers
Bientôt la fin des mots de passe ? Bientôt la fin des mots de passe ?
Microsoft veut que le navigateur Edge vous aide à faire vos achats du Black Friday et de Noël Microsoft veut que le navigateur Edge vous aide à faire vos achats du Black Friday et de Noël