Les comptes Microsoft peuvent être sans mot de passe

Le par Jérôme G.  |  24 commentaire(s)
Microsoft-logo

Dorénavant pour tous les comptes Microsoft personnels, le groupe de Redmond invite à supprimer les mots de passe.

Dans les options de sécurité avancées d'un compte Microsoft, il est désormais proposé d'augmenter la sécurité... en supprimant le mot de passe. Cette option de compte sans mot de passe apparaît à côté de l'authentification en deux étapes où le mot de passe n'est pas supprimé.

microsoft-compte-sans-mot-de-passe

L'authentification sans mot de passe avait déjà fait l'objet d'un déploiement en début d'année pour tous les utilisateurs d'Azure Active Directory grâce à des technologies comme l'API Web Authentication (WebAuthn) et Fast Identity Online (FIDO2).

Au cours des prochaines semaines, le déploiement concerne maintenant tous les détenteurs d'un compte Microsoft personnel. Le cas échéant, la connexion pourra se faire avec l'application Microsoft Authenticator, Windows Hello (biométrie), une clé de sécurité physique ou un code de vérification par SMS ou email.

Avant de supprimer le mot de passe, il est nécessaire d'installer l'application Microsoft Authenticator sur smartphone et de la lier au compte Microsoft. À noter qu'un retour en arrière est possible en désactivant le compte sans mot de passe, puis en rajoutant un mot de passe.

Les mots de passe perçus comme une vulnérabilité

Avec le mot de passe, Microsoft pointe du doigt plusieurs problèmes dont une dérive connue des utilisateurs à choisir des mots de passe pas suffisamment robustes, ce dont les attaquants savent tirer parti. Au-delà, Microsoft estime que " les mots de passe sont incroyablement difficiles à créer, à retenir et à gérer pour tous les comptes de notre vie. "

Même la vérification en deux étapes n'est pas jugée pleinement satisfaisante quand elle est disponible. Pour autant, elle réduit grandement le risque de compromission d'un compte.

" La vérification de l'identité par un mot de passe et un facteur supplémentaire a été utile, mais les attaquants commencent déjà à contourner la deuxième étape. Tant que les mots de passe feront partie de l'équation, ils seront vulnérables. "

À voir si le pas sera effectivement franchi de manière massive. Sinon, il y a toujours le recours à un gestionnaire de mots de passe et l'authentification à plusieurs facteurs.

  • Partager ce contenu :
Complément d'information

Vos commentaires Page 1 / 3

Trier par : date / pertinence
lepingouinenfoliedestroyer offline Hors ligne VIP icone 7413 points
Le #2143440
Quel sera le prochain ? En tout cas c'est sympa !
Chitzitoune online Connecté VIP avatar 20373 points
Le #2143446
Sachant qu'un code par SMS / mails est sur le fond bien moins sécurisé qu'un mot de passe connu uniquement de l’utilisateur..... (car y'a pas l'aspect "accès unique par l'usager")
kerlutinoec offline Hors ligne VIP icone 14035 points
Le #2143448
Tout est piratable. L'avantage des mots de passe c'est qu'ils ne sont *en théorie* stockés que dans le cerveau des gens. Les états n'aiment pas les mots de passe.
Pour ma part ça sera mot de passe et rien d'autre tant que l'informatique quantique ne sera pas grand public.
skynet away Absent VIP icone 83981 points
Le #2143452
Il existe des 2FA qui sont très bien sécurisés (je prends pour exemple le dernier 2FA de chez Synology qui n'est pas basé uniquement sur du TOTP).

Il faut juste que son implémentation soit aux petits oignons, ce qui est parfaitement à la portée de Microsoft.
mokocchi offline Hors ligne Héroïque icone 827 points
Le #2143454
Dans un prochain Windows, ils retireront le champ mot de passe dans l'Out Of the Box Experience et encourageront à appairer le compte à un dispositif FIDO2/biométrique. L'option "Je préfère me connecter avec mot de passe (moins sécurisé" sera discrète en bas à gauche.
Sinon encore une poussée supplémentaire vers la centralisation du smartphone en tant que facteur d'auth (qui requiert a minima un PIN + reconnaissance faciale ou empreinte digitale), bien que le 2/3FA ce n'est pas que ça.
Chitzitoune online Connecté VIP avatar 20373 points
Le #2143459
mokocchi a écrit :

Dans un prochain Windows, ils retireront le champ mot de passe dans l'Out Of the Box Experience et encourageront à appairer le compte à un dispositif FIDO2/biométrique. L'option "Je préfère me connecter avec mot de passe (moins sécurisé" sera discrète en bas à gauche.
Sinon encore une poussée supplémentaire vers la centralisation du smartphone en tant que facteur d'auth (qui requiert a minima un PIN + reconnaissance faciale ou empreinte digitale), bien que le 2/3FA ce n'est pas que ça.


Sachant que la biométrie est par nature totalement non sécurisée: Ca ne respecte ni le critère de révocabilité ni celui d'unicité, ni celui de confidentialité qui sont parmi les critères fondamentaux et indispensables
Narcos away Absent VIP icone 24487 points
Le #2143462
Une double authentification est une mesure suffisante. Dire qu'un mot de passe est bien mieux sécurisé n'est pas vrai. Cela dépend de la rigidité du mot de passe.

Sur MS, Windows Hello est simple et rapide.
FRANCKYIV away Absent VIP icone 55254 points
Premium
Le #2143475
La sécurité de mon compte Microsoft m'importe bien moins que la sécurité de mon compte Google.

Microsoft =>Compte facultatif ne comprenant aucun achat via le Store qui est très pauvre.

Google =>Compte obligatoire comprenant des achats via le PlayStore.
Chitzitoune online Connecté VIP avatar 20373 points
Le #2143483
Narcos a écrit :

Une double authentification est une mesure suffisante. Dire qu'un mot de passe est bien mieux sécurisé n'est pas vrai. Cela dépend de la rigidité du mot de passe.

Sur MS, Windows Hello est simple et rapide.


Une authentification sécurisée impose certains critères obligatoires:

Notamment, y'a le critère de "confidentialité" : seul l'utilisateur doit connaitre l'information d'authentification en claire (même l'admin systeme le connait pas: au plus, il peut demander une procédure de reset, par l'utilisateur, mais ne peut pas le connaitre, ni le choisir)

Qu'un service envoie lui même un code, qu'il a généré de son coté et que l’utilisateur doit ressaisir ne répond pas à ce critère de base (que ça soit par SMS ou par mail), tout simplement car n'importe qui peut saisir ce code, et pas seulement l'utilisateur légitime.

Ce genre de systeme n'est pas une authentification sécurisée mais tout au plus une vérification que la personne dispose d'un accès aux mails / au portable (pas forcement lié à l’utilisateur...)


Ca peut constituer "un plus" au mot de passe, mais absolument pas le remplacer.
Fennec6600 offline Hors ligne VIP icone 5662 points
Premium
Le #2143496
Un petit lecteur d'empreintes digitales connecté en USB ou intégré aux ordinateurs portables pour supprimer enfin tous les mots de passe, quelque soit le compte, serait sympa aussi.

A voir la fiabilité...
icone Suivre les commentaires
Poster un commentaire