IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Microsoft prévoit de mettre fin au mot de passe en 2021 pour s'appuyer sur de nouvelles méthodes d'authentification comme Windows Hello,
Microsoft Authenticator et la biométrie

Le , par Bill Fassinou
38 commentaires

331PARTAGES

5  0 
L'utilisation d'un mot de passe est la méthode la plus populaire pour accéder à un compte, que ce soit sur un ordinateur personnel ou une plateforme distante. Cela dit, il est confronté à plusieurs enjeux, notamment la mémorisation, qui devient de plus en plus pertinente en raison de la multiplication du nombre de services nécessitant un mot de passe, et la compromission dont il peut faire l'objet. Microsoft travaille depuis quelques années à rendre le mot de passe obsolète et a annoncé la semaine dernière qu'il dispose désormais d'assez d'alternatives pouvant lui permettre de supprimer le mot de passe pour ses clients dès 2021.

L'utilisation du mot de passe et les enjeux pour les personnes et les organisations

Un mot de passe est une chaîne de caractères utilisée pour vérifier l'identité d'un utilisateur au cours du processus d'authentification. Généralement, les mots de passe sont utilisés en conjonction avec un nom d'utilisateur ; ils sont conçus pour être connus uniquement de l'utilisateur et lui permettre d'accéder à une application, un site Web ou un dispositif. Les mots de passe peuvent varier en longueur et peuvent contenir des lettres, des chiffres et des caractères spéciaux. Cependant, même s'il existe des recommandations pour former un mot de passe théoriquement "fort", il n'est jamais techniquement totalement "sécurisé".


Selon Microsoft, les mots de passe sont un véritable casse-tête et ils présentent des risques de sécurité pour les utilisateurs et les organisations de toutes tailles, avec une moyenne d'un compte d'entreprise sur 250 compromis chaque mois. Selon Gartner, 20 à 50 % de tous les appels au service d'assistance sont destinés à la réinitialisation de mots de passe. Le Forum économique mondial (World economic forum - WEF) estime que la cybercriminalité coûte à l'économie mondiale environ 2,9 millions de dollars chaque minute, dont environ 80 % pour les mots de passe.

En effet, de nombreuses études montrent chaque année l'ampleur des violations de données liées à la compromission des mots de passe. Plusieurs facteurs sont à l'origine de ce problème, dont deux des plus connus sont la rétention, qui contraint parfois certains utilisateurs à partager leurs mots de passe avec leurs collègues, et l'utilisation du même mot de passe pour plusieurs comptes. Par exemple, selon une étude de la société de cybersécurité Yubico (inventeur de la clé de sécurité Yubikey) et l'institut Ponemon en 2019, 69 % des employés révèlent leurs mots de passe à leurs collègues.

En outre, dans le cadre de la journée mondiale du mot de passe le 7 mai, Balbix, fournisseur de système de sécurité pour aider les entreprises à transformer leur posture de cybersécurité et à réduire de manière quantifiable leur risque de violation, a publié un rapport sur l'état de l'utilisation des mots de passe en 2020. Le rapport montre que 99 % des utilisateurs réutilisent leur mot de passe sur près de trois comptes en raison du désir de commodité et de rapidité lors de la navigation sur les différents comptes. Le rapport de Balbix estime qu'en moyenne, chaque mot de passe d'utilisateur est partagé entre 2,7 comptes.

Il existe également d'autres études traitant des défis liés aux défis des mots de passe auxquels les organisations sont confrontées. Des centres de recherche et plusieurs acteurs du secteur de la cybersécurité recherchent depuis quelques années des solutions pour venir à bout de ces problèmes et d'autres, comme Microsoft, sont pour une approche sans mot de passe. La firme de Redmond est en effet un partisan de la technologie sans mot de passe depuis un certain temps et a récemment déclaré qu'elle veut que les mots de passe traditionnels et non sécurisés meurent.

Microsoft veut supprimer le mot de passe pour ses clients d'ici la fin de 2021

Dans l'objectif d'éliminer le mot de passe, qu'il voit comme dépassé et peu sûr pour les entreprises, Microsoft a investi ces dernières années dans diverses solutions telles que Windows Hello, Microsoft Authenticator, les clés de sécurité FIDO2 et un système d'authentification des veines de la paume, entre autres choses. Ainsi, il s'efforce de faire passer les gens à ses solutions sans mot de passe et jeudi dernier, il a mis en évidence les progrès qu'il a réalisés pour tuer les mots de passe en 2020, et a déclaré qu'elle prévoit de les faire disparaître pour tous ses clients en 2021.

Selon les chiffres de la société, en novembre 2019, 100 millions de personnes utilisaient la connexion sans mot de passe de Microsoft. Ce chiffre est passé à 150 millions en mai 2020, ce qui montre bien que des millions de personnes sont prêtes à abandonner leurs mots de passe en raison de la gêne qu'elles ressentent à les mémoriser et de l'insécurité qu'elles peuvent ressentir. Tout au long de l'année 2020, Microsoft a participé à diverses conférences pour partager sa vision d'un avenir sans mot de passe et d'un environnement Zero Trust.



Il a également dévoilé en avant-première la prise en charge d'Azure Active Directory pour les clés de sécurité FIDO2 dans les environnements hybrides, ainsi qu'un nouveau assistant sans mot de passe via le centre d'administration Microsoft 365. L'entreprise s'est également engagée avec plusieurs partenaires de sécurité dans la Microsoft Intelligent Security Association (MISA) pour mettre en place des solutions sans mot de passe. Pour rappel, FIDO2 est le terme général qui désigne la toute nouvelle série de spécifications de l'Alliance FIDO.

FIDO2 permet aux utilisateurs de tirer parti des appareils courants pour s'authentifier facilement aux services en ligne dans les environnements mobiles et de bureau. Les spécifications FIDO2 sont la spécification d'authentification Web (WebAuthn) du World Wide Web Consortium (W3C) et le protocole Client-to-Authenticator (CTAP) correspondant de FIDO Alliance. Voici quelques chiffres mis en avant par Microsoft, attestant de ses efforts pour mettre fin à l'utilisation du mot de passe sur ses différentes plateformes :

  • l'utilisation sans mot de passe dans Azure Active Directory a augmenté de plus de 50 % pour Windows Hello for Business, la connexion téléphonique sans mot de passe avec Microsoft Authenticator et les clés de sécurité FIDO2 ;
  • il y a désormais plus de 150 millions d'utilisateurs sans mot de passe dans Azure Active Directory et les comptes consommateurs de Microsoft ;
  • le nombre de consommateurs utilisant Windows Hello pour se connecter à des appareils Windows 10 au lieu d'un mot de passe est passé de 69,4 % en 2019 à 84,7 % en 2020.

Fier d'en être arrivé là, Microsoft a déclaré que si tout se passe comme prévu, il rendra les mots de passe obsolètes pour tous ses clients avant la fin de 2021. Il développe actuellement de nouvelles API et un UX pour gérer les clés de sécurité FIDO2, et vise également à fournir un "portail d'enregistrement convergent", où les clients peuvent gérer leurs identifiants sans mot de passe. Tout en espérant que 2021 marque le retour à la normale (la fin de la crise sanitaire liée au Covid-19), la société a souligné que le fait de passer à une authentification sans mot de passe facilitera considérablement la vie en ligne.

Source : Microsoft

Et vous ?

Que pensez-vous de l'authentification sans mot de passe ? Garantit-elle plus de sécurité que le mot de passe ?
Avez déjà utilisé l'une des alternatives au mot de passe de Microsoft ? Si oui, laquelle ? Quel est votre retour d'expérience ?

Voir aussi

69 % des employés révèlent leurs mots de passe à leurs collègues, d'après une enquête menée par Yubico et Ponemon

99 % des utilisateurs réutilisent leur mot de passe sur près de trois comptes en raison du désir de commodité et de rapidité lors de la navigation sur les différents comptes, révèle un rapport

WebAuthn : le W3C et l'Alliance FIDO finalisent la norme pour les connexions sans mot de passe et appellent les sites et entreprises à l'adopter

Microsoft rapproche Windows 10 d'un avenir sans mots de passe avec le déploiement de la certification FIDO2 dans la prochaine mise à jour Windows 10

Google renforce la sécurité mobile sur iOS avec la prise en charge de YubiKey via NFC et Lightning

Une erreur dans cette actualité ? Signalez-nous-la !

38 commentaires
Commenter Signaler un problème
tanaka59
Avatar de tanaka59
Inactif https://www.developpez.com
Le 21/12/2020 à 14:28
Bonjour,

Que pensez-vous de l'authentification sans mot de passe ?
Cela n'existe pas ... Il y a toujours un mot de passe genre un token ou code temporaire ... cela reste un mot de passe malgré tout.

Garantit-elle plus de sécurité que le mot de passe ?
Pas nécessairement ... Quid des moments ou l'on a pas forcement internet ou le réseau de téléphonie fixe comme mobile pour recevoir le code temporaire ? Quid du télétravail quand l'utilisateur n'a accès à sa ligne d'entreprise ?

Quid des utilisateurs sans smartphone ou GSM qui ont un pc windows 10 ?

Quid des particuliers lors du premier paramétrage du pc sans internet ?

Partir du postulat que tout le monde à internet pour les sacro-saintes solutions multifacteurs me fait bien ...

Avez déjà utilisé l'une des alternatives au mot de passe de Microsoft ? Si oui, laquelle ? Quel est votre retour d'expérience ?
J'ai déjà essayé Hellow et l'identification multifacteur ... deçu car trop usine à gaz ... pire parfois même le sms n'arrive pas ...
7  0 
zoonel
Avatar de zoonel
Membre actif https://www.developpez.com
Le 21/12/2020 à 23:26
Moi ce dont j'ai le plus peur avec ce genre de système c'est que se passe-t-il si on perd sa clef ? (je parle ici plutot de FIDO2 que des veines de la paume même si c'est également possible)
(gsm volé, dongle perdu, ...)
Si c'est pour une société je dirais qu'on s'en fout, doit y avoir des backup qque part.
Mais si c'est pour du perso, comment on fait ? on backup sa clef, mais qu'on sécurise avec quoi du coup ? (un mdp ? ) Et encore c'est si on a été assez prudent pour faire un backup (et puis on le backup où ?).
D'après ce que j'ai lu sur ce genre d'auth, si t'as pas de backup de la clef t'es foutu, tes données sont perdues à jamais.
Dans la vie réelle au moins si tu perds tes clefs tu peux faire appel à un serrurier pour quand même rentrer chez toi, même avec une porte blindée. Ici non, c'est bien ça qui me fait peur.
6  0 
sergio_is_back
Avatar de sergio_is_back
Expert confirmé https://www.developpez.com
Le 16/09/2021 à 15:32
C'est sympa l'authentification par SMS sur ton tél, lorsque tu es sur site classé SEVESO avec interdiction des téléphones portables....
5  0 
ji_louis
Avatar de ji_louis
Membre régulier https://www.developpez.com
Le 21/12/2020 à 16:00
Je ne doute pas du fait qu'une solution biométrique (doigt, veines, oeil, etc) donne un code plus complexe, personnel et reproductible qu'un mot de passe.

Le problème est "Que se passera-t-il quand ce code biométrique aura été compromis?" (parce que tout code binaire peut être copié et reproduit).
Imaginez votre compte bancaire vidé par un pirate qui aura utilisé votre code biométrique (donc non répudiable), opération non remboursée par la banque...

La gestion des mots de passe est une plaie nécessaire pour assurer un bon niveau de sécurité. Les industriels de l'informatique veulent faire passer tous leurs clients sur des services distants, donc gérés par les industriels, ce qui assure à ces industriels une clientèle captive qu'ils pourront pressurer à loisir (quand ils n'en profiteront pas pour pirater leurs secrets, de la correspondance, industriels, commerciaux ou autres, comme Amazon est accusé de l'avoir fait).

Il vaut mieux avoir un service local de gestion des mots de passes avec une sauvegarde ad hoc et des procédures de redémarrage idoines, cela assure l'indépendance de l'entreprise.
4  0 
totozor
Avatar de totozor
Membre expert https://www.developpez.com
Le 16/09/2021 à 16:26
Citation Envoyé par sergio_is_back Voir le message
C'est sympa l'authentification par SMS sur ton tél, lorsque tu es sur site classé SEVESO avec interdiction des téléphones portables....
Ou quand il sert à débloquer une application qui est sur ton téléphone
4  0 
fatbob
Avatar de fatbob
Membre éclairé https://www.developpez.com
Le 24/09/2021 à 10:13
Quelqu'un sait-il pourquoi aucun site où l'on a besoin d'un mot de passe n'interdit de faire des dizaines de milliers d'essais chaque seconde ?
Si il n'était pas possible de faire plus d'un essais toute les trois secondes, par exemple, cela ne serait-il pas déjà un bon début pour limiter le problème ?
Avec 6 caractères alphanumériques, et 3 secondes par essais, on atteint déjà 5400 ans pour un algo de force brute.

Toutes ces méthodes alternative de double authentification, cela ressemble plus à un moyen de récupérer les numéros de téléphone de tous les clients qui ouvrent un compte.
Pour ma part, je n'ai pas envie de filer ce numéro à n'importe qui sous prétexte de sécurité.
On reparlera de ça quand les opérateurs téléphoniques permettront d'avoir au moins un ou deux alias modifiables pour nos numéros de téléphones afin de pouvoir virer périodiquement tous les spammeurs sans avoir besoin de prévenir tous ses contacts mais pour l'instant, c'est juste un moyen de plus pour nous envoyer de la pub.
4  0 
chrtophe
Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 22/12/2020 à 8:14
Dans le cas de l'authentification à double facteurs par exemple, tu peux générer des clés de secours. Encore faut il le savoir et penser à le faire.
3  0 
Fagus
Avatar de Fagus
Membre expert https://www.developpez.com
Le 22/12/2020 à 17:15
Citation Envoyé par zoonel Voir le message
Moi ce dont j'ai le plus peur avec ce genre de système c'est que se passe-t-il si on perd sa clef ? (je parle ici plutot de FIDO2...
Les gens qui vendent des clés physiques te disent d'en acheter 2...

Personnellement, j'imprime la clé sur un papier que j'archive sur un autre site. Il y a moyen de l'imprimer sous forme chiffrée (naturellement ou via GPG). On peut aussi la convertir en QR code ou autre archivage graphique en offline avant de l'imprimer pour éviter un OCR fastidieux.

Le papier a l'avantage de se conserver au delà d'une vie, prendre peu de place et coûter moins cher qu'une clé de secours ou un média qui sera moins fiable.
3  0 
Fagus
Avatar de Fagus
Membre expert https://www.developpez.com
Le 19/07/2021 à 12:25
En résumé : Ils ont branché une carte de prototypage sur un PC en USB . Celle-ci se fait passer pour une webcam et envoie deux images statiques (une image noire + une photo infrarouge de l'utilisateur). Windows hello prend ça pour l'utilisateur et se déverrouille.
3  0 
OliverDuncan
Avatar de OliverDuncan
Inactif https://www.developpez.com
Le 17/09/2021 à 11:37
Les chercheurs de CyberArk ont trompé Windows Hello, le système d'authentification sans mot de passe intégré à Windows 10 et Windows 11, en utilisant une seule image infrarouge accompagnée d'un cadre vidéo. Windows Hello comprend trois méthodes d'authentification : un code PIN utilisateur, un scanner d'empreintes digitales et un outil de reconnaissance faciale. Les chercheurs de CyberArk ont spécifiquement ciblé ses capacités de reconnaissance faciale, mais des problèmes ont également été constatés dans d'autres aspects du système
3  0 
Commenter Signaler un problème