Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Discussion :
Apparemment, le PIN peut être autre chose que 4 chiffres et est stocké dans le TPM qui se verrouille après "trop" d'essais selon le lob de Microsoft.Envoyé par Gluups
Si on en a assez, des mots de passe, on peut aussi acheter une yubikey.
Si on veut juste durcir un peu sans tout ça, on peut aussi ajouter son téléphone en comme authentification à deux facteurs avec l'appli Duo security (usage privé gratuit). ça marche aussi sur les sessions RDP.
Ah, à chaque fois que j'avais la possibilité d'enregistrer quelque chose qui s'appelait un code PIN, j'ai été encouragé à y taper quatre chiffres.
Peut-être qu'on peut y mettre des lettres aussi, et alors peut-être qu'on peut appeler ça un mot de passe.
Ah le téléphone, ce n'est peut-être pas l'endroit pour chercher le pourquoi du comment, mais après avoir apparié le mien, je suis descendu au rez-de-chaussée avec, je l'ai éteint, et quand je suis remonté mon ordinateur n'était toujours pas verrouillé.
Tout ce que j'ai réussi à obtenir, un temps, c'est un SMS me disant que j'avais démarré mon ordinateur. Mais là il y a une erreur, ce n'est pas mon téléphone, que je cherchais à démarrer, mais mon ordinateur.
Avec la myriade d'options matérielles que Windows doit continuer à supporter, je ne vois pas comment cela pourrait être évité. Apple va probablement mettre FaceID dans les Macbooks et les iMacs, et peut-être sortir une nouvelle iSight, et interdire tout le reste. Windows ne pourra jamais faire ça.
Bien que ces exploits doivent être corrigés, je ne suis pas sûr que cela affecte vraiment la personne moyenne. Il faut un accès physique à la fois à la personne et à la machine (mais pas nécessairement en même temps). À ce stade, il y a beaucoup de façons dont quelqu'un pourrait contraindre, tromper ou forcer son chemin.
Et personne n'a été surpris.
Toute personne possédant un compte Microsoft peut désormais supprimer complètement son mot de passe
Toute personne possédant un compte Microsoft peut désormais supprimer complètement son mot de passe,
pour disposer d'une meilleure alternative de sécurité selon Microsoft
L'utilisation d'un mot de passe est la méthode la plus populaire pour accéder à un compte, que ce soit sur un ordinateur personnel ou une plateforme distante. Cela dit, il est confronté à plusieurs enjeux, notamment la mémorisation, en raison de la multiplication du nombre de services nécessitant un mot de passe, et la compromission dont il peut faire l'objet. Microsoft travaille depuis quelques années à rendre le mot de passe obsolète et a annoncé en décembre dernier qu'il dispose désormais d'assez d'alternatives pouvant lui permettre de supprimer le mot de passe pour ses clients dès 2021.
Selon Microsoft, les mots de passe sont un véritable casse-tête et ils présentent des risques de sécurité pour les utilisateurs et les organisations de toutes tailles, avec une moyenne d'un compte d'entreprise sur 250 compromis chaque mois. Selon Gartner, 20 à 50 % de tous les appels au service d'assistance sont destinés à la réinitialisation de mots de passe. Le Forum économique mondial (World economic forum - WEF) estime que la cybercriminalité coûte à l'économie mondiale environ 2,9 millions de dollars chaque minute, dont environ 80 % pour les mots de passe.
En effet, de nombreuses études montrent chaque année l'ampleur des violations de données liées à la compromission des mots de passe. Plusieurs facteurs sont à l'origine de ce problème, dont deux des plus connus sont la rétention, qui contraint parfois certains utilisateurs à partager leurs mots de passe avec leurs collègues, et l'utilisation du même mot de passe pour plusieurs comptes. Par exemple, selon une étude de la société de cybersécurité Yubico (inventeur de la clé de sécurité Yubikey) et l'institut Ponemon en 2019, 69 % des employés révèlent leurs mots de passe à leurs collègues.
En outre, dans le cadre de l'édition 2020 de la journée mondiale du mot de passe, Balbix, fournisseur de système de sécurité pour aider les entreprises à transformer leur posture de cybersécurité et à réduire de manière quantifiable leur risque de violation, a publié un rapport sur l'état de l'utilisation des mots de passe. Le rapport montre que 99 % des utilisateurs réutilisent leur mot de passe sur près de trois comptes en raison du désir de commodité et de rapidité lors de la navigation sur les différents comptes. Le rapport de Balbix estime qu'en moyenne, chaque mot de passe d'utilisateur est partagé entre 2,7 comptes.
Il existe également d'autres études traitant des défis liés aux défis des mots de passe auxquels les organisations sont confrontées. Des centres de recherche et plusieurs acteurs du secteur de la cybersécurité recherchent depuis quelques années des solutions pour venir à bout de ces problèmes et d'autres, comme Microsoft, sont pour une approche sans mot de passe. La firme de Redmond est en effet un partisan de la technologie sans mot de passe depuis un certain temps et a récemment déclaré qu'elle veut que les mots de passe traditionnels et non sécurisés soient remplacés.
Pour se faire, Microsoft a investi ces dernières années dans diverses solutions telles que Windows Hello, Microsoft Authenticator, les clés de sécurité FIDO2 et un système d'authentification des veines de la paume, entre autres choses. Ainsi, il s'efforce de faire passer les gens à ses solutions sans mot de passe et jeudi dernier, il a mis en évidence les progrès qu'il a réalisés pour tuer les mots de passe en 2020, et a déclaré qu'elle prévoit de les faire disparaître pour tous ses clients en 2021.
Selon les chiffres de la société, en novembre 2019, 100 millions de personnes utilisaient la connexion sans mot de passe de Microsoft. Ce chiffre est passé à 150 millions en mai 2020, ce qui montre bien que des millions de personnes sont prêtes à abandonner leurs mots de passe en raison de la gêne qu'elles ressentent à les mémoriser et de l'insécurité qu'elles peuvent ressentir. Tout au long de l'année 2020, Microsoft a participé à diverses conférences pour partager sa vision d'un avenir sans mot de passe et d'un environnement Zero Trust.
Microsoft a également dévoilé en avant-première la prise en charge d'Azure Active Directory pour les clés de sécurité FIDO2 dans les environnements hybrides, ainsi qu'un nouveau assistant sans mot de passe via le centre d'administration Microsoft 365. L'entreprise s'est également engagée avec plusieurs partenaires de sécurité dans la Microsoft Intelligent Security Association (MISA) pour mettre en place des solutions sans mot de passe. Pour rappel, FIDO2 est le terme général qui désigne la toute nouvelle série de spécifications de l'Alliance FIDO.
Les comptes Microsoft deviennent sans mot de passe
Toute personne possédant un compte Microsoft peut désormais supprimer complètement son mot de passe du compte pour disposer d'une meilleure alternative de sécurité. Le vice-président de Microsoft, Vasu Jakka, l'a annoncé dans un billet de blog :
« Personne n'aime les mots de passe. Ils sont gênants. Ils sont une cible privilégiée pour les attaques. Pourtant, pendant des années, ils ont été la couche de sécurité la plus importante pour tout dans notre vie numérique, des e-mails aux comptes bancaires, des paniers d'achat aux jeux vidéo.
« Nous sommes censés créer des mots de passe complexes et uniques, les mémoriser et les modifier fréquemment, mais personne n'aime faire cela non plus. Dans un récent sondage sur Twitter de Microsoft, une personne sur cinq a déclaré qu'elle préférait accidentellement "répondre à tous" – ce qui peut être monumentalement embarrassant – plutôt que de réinitialiser un mot de passe.
« Mais quelle alternative avons-nous ?
« Au cours des deux dernières années, nous avons dit que l'avenir est sans mot de passe, et aujourd'hui, je suis ravi d'annoncer la prochaine étape de cette vision. En mars 2021, nous avons annoncé que la connexion sans mot de passe était généralement disponible pour les utilisateurs commerciaux, apportant la fonctionnalité aux entreprises du monde entier.
« À partir d'aujourd'hui, vous pouvez désormais supprimer complètement le mot de passe de votre compte Microsoft. Utilisez l'application Microsoft Authenticator, Windows Hello, une clé de sécurité ou un code de vérification envoyé à votre téléphone ou par e-mail pour vous connecter à vos applications et services préférés, tels que Microsoft Outlook, Microsoft OneDrive, Microsoft Family Safety, etc. Cette fonctionnalité sera déployée dans les semaines à venir.
Passez à une authentification sans mot de passe en quelques clics rapides
Tout d'abord, assurez-vous que l'application Microsoft Authenticator est installée et liée à votre compte Microsoft personnel.
Ensuite, visitez votre compte Microsoft, connectez-vous et choisissez Options de sécurité avancées. Sous Options de sécurité supplémentaires, vous verrez Compte sans mot de passe. Sélectionnez Activer.
Enfin, suivez les invites à l'écran, puis approuvez la notification de votre application Authenticator. Une fois que vous avez approuvé, vous êtes libre de vous authentifier sans votre mot de passe*!
Si vous décidez que vous préférez utiliser un mot de passe, vous pouvez toujours le rajouter à votre compte. Mais j'espère que vous allez essayer sans mot de passe - je ne pense pas que vous voudrez revenir en arrière.
« Nous avons reçu d'excellents retours de nos entreprises clientes qui ont fait le voyage sans mot de passe avec nous. En fait, Microsoft lui-même est un excellent cas de test : près de 100 % de nos employés utilisent des options sans mot de passe pour se connecter à leurs comptes d'entreprise ».
Des chercheurs en sécurité déjouent Windows Hello en trompant une webcam du système de reconnaissance faciale
Rappelons qu'en juillet, une nouvelle méthode pour contourner le système de reconnaissance faciale Windows Hello de Microsoft a montré qu'une petite manipulation matérielle peut inciter le système à se déverrouiller alors qu'il ne devrait pas le faire. En effet, les chercheurs de CyberArk ont trompé Windows Hello, le système d'authentification sans mot de passe intégré à Windows 10 et Windows 11, en utilisant une seule image infrarouge accompagnée d'une trame vidéo. Windows Hello englobe trois méthodes d'authentification : un code PIN généré par l'utilisateur, un scanner d'empreintes digitales et un outil de reconnaissance faciale. Les chercheurs de CyberArk ont spécifiquement ciblé ses capacités de reconnaissance faciale, mais des problèmes ont également été découverts dans d'autres aspects du système.
Microsoft a estimé que la découverte est une « vulnérabilité de contournement de la fonction de sécurité de Windows Hello » et a publié des correctifs pour résoudre le problème. En outre, la société suggère aux utilisateurs d'activer la « sécurité de connexion améliorée de Windows Hello », qui utilise la « sécurité basée sur la virtualisation » de Microsoft pour chiffrer les données du visage de Windows Hello et les traiter dans une zone de mémoire protégée où elles ne peuvent pas être altérées.
Sources : annonce de Microsoft, support Microsoft
Et vous ?
Que pensez-vous des alternatives aux mots de passe comme Windows Hello, Microsoft Authenticator, la clé de sécurité ou le code de vérification envoyé à votre téléphone ou par e-mail ?
Voir aussi :
Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités
C'est quoi les options sans mot de passe ?
Finis les mots de passe, dorénavant, utilisons un "code pin".
1. C'est au mieux une opération commerciale, au pire encore un truc qui va dérésponsabiliser les gens : pourquoi ne pas former les gens à la gestion de mot de passe. Bordel je connais par coeur mon numéro de sécu, mon numéro de compte, un mot de passe c'est pas tant pire même si effectivement il se complique, d'ou le 2.Toute personne possédant un compte Microsoft peut désormais supprimer complètement son mot de passe,
pour disposer d'une meilleure alternative de sécurité selon Microsoft
2. Oui j'ai un gestionnaire de mot de passe, dont je change le mot de passe mensuellement et active le 2FA dans tout les cas ou c'est possible. (même si je sais que ça a aussi ses limites mais je suis pas à l'abri de me faire renverser par une voiture non plus).
C'est sympa l'authentification par SMS sur ton tél, lorsque tu es sur site classé SEVESO avec interdiction des téléphones portables....
Ou quand il sert à débloquer une application qui est sur ton téléphone
Bonjour,
Avoir un gestion saine de ces mots de passes demande une certaine organisation .
Déjà les voir en 3 types de sites/app/services :
> sensible (banque, administratif, web services liés au foyer ou l'on habite comme les télécoms/gaz/eau ... )
> consumérisme (achat de bien et / ou service en ligne)
> le futile (discussion et divertissement ligne , musique, jeux video, film, discussion ... )
On ne se connecte pas sur le site de sa banque, ou de son opérateur de gaz tous les jours ... Le mieux ? Privilégier la retenue de l'identifiant , et faire mot de passe oublier utiliser ou utiliser une double authentification. A minima "tenir une liste" , avec l'identifiant de la ou l'on s'inscrit .
Même chose pour les sites "consumériste" . On ne fait pas ses courses en lignes tous les jours, comme on n’achète pas des chaussures tous les jours ...
Pour le futile, la franchement faux pas s'emmerder. A tout casser c'est 2/3 mots de passes ... Un compte Tiktok/Twitter/FB , qui ne peut pas retenir 3 mots ?
Au plus la fréquence d'utilisation est faible, au plus le risque de piratage est important ... Il est plus grave de se faire siphonner son compte des impôts que son compte Facebook ou Steam ...
Les chercheurs de CyberArk ont trompé Windows Hello, le système d'authentification sans mot de passe intégré à Windows 10 et Windows 11, en utilisant une seule image infrarouge accompagnée d'un cadre vidéo. Windows Hello comprend trois méthodes d'authentification : un code PIN utilisateur, un scanner d'empreintes digitales et un outil de reconnaissance faciale. Les chercheurs de CyberArk ont spécifiquement ciblé ses capacités de reconnaissance faciale, mais des problèmes ont également été constatés dans d'autres aspects du système
D’où l’intérêt de l'authentification à double facteur.
Si on peut utiliser plusieurs sources pour le second facteur d’authentification comme par exemple une adresse mail ou un tél, c'est un bon compromis.
Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
Mon article sur le P2V, mon article sur le cloud
Quelqu'un sait-il pourquoi aucun site où l'on a besoin d'un mot de passe n'interdit de faire des dizaines de milliers d'essais chaque seconde ?
Si il n'était pas possible de faire plus d'un essais toute les trois secondes, par exemple, cela ne serait-il pas déjà un bon début pour limiter le problème ?
Avec 6 caractères alphanumériques, et 3 secondes par essais, on atteint déjà 5400 ans pour un algo de force brute.
Toutes ces méthodes alternative de double authentification, cela ressemble plus à un moyen de récupérer les numéros de téléphone de tous les clients qui ouvrent un compte.
Pour ma part, je n'ai pas envie de filer ce numéro à n'importe qui sous prétexte de sécurité.
On reparlera de ça quand les opérateurs téléphoniques permettront d'avoir au moins un ou deux alias modifiables pour nos numéros de téléphones afin de pouvoir virer périodiquement tous les spammeurs sans avoir besoin de prévenir tous ses contacts mais pour l'instant, c'est juste un moyen de plus pour nous envoyer de la pub.
Parce que les sites ne l’implémentent pas. Même avec un simple wordpress, tu peux bloquer l'accès après un nombre d'essai infructueux.Quelqu'un sait-il pourquoi aucun site où l'on a besoin d'un mot de passe n'interdit de faire des dizaines de milliers d'essais chaque seconde ?
Il y a des services qui fournissent des numéros virtuels. Je préfère utiliser une adresse mail dédiée à cela que je n'interroge que quand j'attends une double authentification.On reparlera de ça quand les opérateurs téléphoniques permettront d'avoir au moins un ou deux alias modifiables pour nos numéros de téléphones afin de pouvoir virer périodiquement tous les spammeurs sans avoir besoin de prévenir tous ses contact
Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
Mon article sur le P2V, mon article sur le cloud
Sécurité SMS vous croyez ?
Mes comptes bancaires ont été vidés car mon numéro de mobile avait été piraté et donc les pirates recevaient les codes "SÉCURISÉS" de ma banque !
Ce n'est donc pas fiable du tout !
Bonsoir,
Ou en banque et assurance ou l'utilisation d'un tel perso sur le plateau peut être interdite ...
Lol ^^
Il y a ce qui s'appelle l'alias.
J'ai des adresses mails laposte et microsoft , je me connecte avec un mail principal et n'envoie et émet du courrier qu'avec des alias ... A part me connaitre physiquement, perso ne peut savoir que mon adresse principale est trucmuche ou tatampion.
Autre avantage , les alias a part envoyer/recevoir , ne permettent pas de se connecter ! Puis en cas de spam , on jarte l'adresse comme un consommable et basta . Pas besoin de réinventer la roue.
Soit il y a eu un malware sur ton smartphone (téléphone zombie), ou alors une personne a su avoir une copie de la sim :/
---
Envoyer un code secu sur une adresse mail et pour s'y connecter faut une adresse mail ?Que pensez-vous des alternatives aux mots de passe comme Windows Hello, Microsoft Authenticator, la clé de sécurité ou le code de vérification envoyé à votre téléphone ou par e-mail ?
On se fait voler son smartphone ou alors on se connecte en local (genre en vacances , ou bien panne internet ou zone blanche). Comment qu'on fait pour se connecter à outlook (le client mail desktop je parle) ? Pour ouvrir un word ou un excel avec mot de passe, pas spécialement envie de se palucher la reception d'un code de manière hasardeuse et j'en passe.
Oui une fois Windows 2FA , j'ai vite oublié car trop lourd pour un quidam moyen. A chaque ouverture/fermeture faut repeter un process manuel . Quid en cas de panne du smartphone/vol / indisponibilité réseau ?Êtes-vous tenté d'essayer l'une d'elles (ou plusieurs) ? Dans quelle mesure ?
Si vous en avez déjà essayé au moins une, qu'en avez-vous pensé ?Les gestionnaires de mots de passes , c'est du marketing.Des retombées sur des outils comme les gestionnaires de mots de passe si ces alternatives venaient à être adopté massivement par internet et les internautes ?
Qu'on éduque déjà a utiliser correctement et sainement les outils existants ... Il y a largement de quoi faire sans se prendre la tête.
Désolé pour toi.Mes comptes bancaires ont été vidés car mon numéro de mobile avait été piraté et donc les pirates recevaient les codes "SÉCURISÉS" de ma banque !
Ce n'est donc pas fiable du tout !
Il ne s'agit pas d'une solution miracle, mais pour se connecter avec authentification à 2 facteurs, il faut 1 connaitre les identifiants, 2 avoir accès à la seconde méthode d'authentification, ça complique quand-même l'opération. La porte blindé la plus haut de gamme n'empêchera pas le cambriolage , mais le rendra plus difficile.
En général, pour cela on créé un mot de passe d'application, le système à double facteur reconnaissant celle-ci.On se fait voler son smartphone ou alors on se connecte en local (genre en vacances , ou bien panne internet ou zone blanche). Comment qu'on fait pour se connecter à outlook (le client mail desktop je parle) ?
Dans le cas de double authentification avec un smartphone, il est quelque fois possible de conserver des codes de secours.
Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
Mon article sur le P2V, mon article sur le cloud
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager