Microsoft Authenticator synchronise les informations d'identification entre Edge, Chrome et les appareils mobiles
et profite du remplissage automatique

Microsoft exhorte les utilisateurs à abandonner les solutions d'authentification multifacteur (MFA) basées sur les opérateurs téléphoniques, telles que les codes à usage unique envoyés par SMS et les appels vocaux, et à les remplacer à la place par de nouvelles technologies MFA, telles que les authentificateurs basés sur les applications et les clés de sécurité.

L'avertissement vient d'Alex Weinert, Group Program Manager for Identity Security and Protection chez Microsoft. Au cours de l'année écoulée, Weinert a plaidé pour l'adoption et l'utilisation de l'authentification multifacteur si le fournisseur de service la prend en charge.

D’ailleurs, dans un billet publié en août 2019, il notait que la complexité du mot de passe n’était pas plus efficace que l’utilisation de l’authentification multifacteur :

« Chaque semaine, j'ai au moins une conversation avec un décideur en matière de sécurité durant laquelle j'explique pourquoi une grande partie de l'hyperbole à propos des mots de passe - "n'utilisez jamais un mot de passe qui a fuité", "utilisez des mots de passe très longs", "les phrases secrètes vont nous sauver", etc. - va à l'encontre de nos recherches et de la réalité que voit notre équipe alors que nous nous défendons chaque jour contre des centaines de millions d'attaques au mot de passe. Se concentrer sur les règles de mot de passe plutôt que sur ce qui peut vraiment aider, comme l'authentification multifactorielle (MFA) ou la détection efficace des menaces, n'est qu'une distraction.

« Parce que voici le truc: quand il s’agit de composition et de longueur, votre mot de passe n’a pas d’importance ».

Dans le même billet, il a affirmé que l'activation d'une solution d'authentification multifacteur bloque 99,9 % des tentatives de connexion non autorisées, même si les pirates informatiques disposent d'une copie du mot de passe actuel de l'utilisateur. Le 0,1 % représente des attaques plus sophistiquées qui utilisent des solutions techniques pour capturer les jetons MFA, mais ces attaques sont encore très rares.

« Votre mot de passe n’a pas d’importance en dehors du password spray (évitez les mots de passe les plus utilisés) ou du brute force (utilisez plus de 8 caractères, ou utilisez un gestionnaire de mot de passe si vous êtes vraiment inquiet). Cela ne veut pas dire que votre mot de passe n’est pas mauvais. Il est mauvais, étant donné la probabilité qu’il soit deviné, intercepté, pris via une attaque par hameçonnage ou réutilisé.

« Votre mot de passe importe peu, mais la MFA si ! Sur la base de nos études, votre compte a plus de 99,9 % de moins de chances d'être compromis si vous utilisez la MFA ».

Nom : 99.png Affichages : 10192 Taille : 136,5 Ko

Microsoft muscle son offre Microsoft Authenticator

Microsoft développe un nouveau gestionnaire de mots de passe qui synchronise les informations d'identification sur son navigateur Edge, Google Chrome et les appareils mobiles iOS ou Android. Une version préliminaire du gestionnaire de mots de passe est désormais intégrée à Microsoft Authenticator, une application mobile gratuite utilisée pour l'authentification multifacteur. Comme beaucoup d'autres gestionnaires de mots de passe, il peut remplir automatiquement les mots de passe dans les applications ou les sites Web sur iOS ou Android.

Les mots de passe sont synchronisés à partir du navigateur Microsoft Edge et peuvent être partagés sur plusieurs appareils à l'aide d'un compte Microsoft. Vous pouvez également synchroniser ces mots de passe avec Google Chrome, à l'aide d'une nouvelle extension Microsoft Autofill. Cela synchronisera tous les mots de passe stockés sur votre compte Microsoft.

Alex Simons, Corporate VP of Program Management de Microsoft Identity Division a indiqué dans un billet de blog : « Aujourd'hui, nous annonçons la Public Preview de la gestion des mots de passe et de la fonction de remplissage automatique dans l'application Microsoft Authenticator. Pour tous les sites ou applications que vous visitez sur votre appareil mobile, Authenticator vous aidera à remplir automatiquement des mots de passe forts sans que vous n’ayez à vous en souvenir. Ces mots de passe peuvent être synchronisés entre les appareils mobiles et les ordinateurs de bureau, de sorte que vous pouvez remplir automatiquement les mots de passe lorsque vous vous déplacez d'un appareil à l'autre. Ceci n'est actuellement disponible que pour les comptes Microsoft (MSA) et non pour les comptes professionnels ou scolaires basés sur Azure AD. »

Nom : cro.png Affichages : 2205 Taille : 32,0 Ko

Rajat Luthra, l'une des Program Managers au sein de l'équipe Identity de Microsoft, a déclaré :

« Je suis ravi de vous annoncer que Microsoft Authenticator peut désormais stocker et saisir automatiquement des mots de passe sur les applications et les sites que vous visitez sur votre appareil mobile. Une fois que vous avez fait d'Authenticator un fournisseur de saisie automatique, il vous proposera d'enregistrer vos mots de passe lorsque vous les saisissez sur la page de connexion d'un site ou d'une application. Vos mots de passe synchronisés sont protégés sur mobile avec une authentification multifacteur. Ces mots de passe sont synchronisés à l'aide de votre compte Microsoft (outlook.com, hotmail.com, live.com, etc.), ce qui les rend également disponibles sur desktop avec Microsoft Edge et la nouvelle extension Google Chrome.

« Bien que l'authentification sans mot de passe et multifactorielle soit la voie à suivre pour la sécurité, nous comprenons que de nombreux sites exigent toujours des mots de passe et que certains ne prennent même pas en charge l'authentification multifacteur. Dans un blog précédent, nous avons montré qu'aucun mot de passe généré par l'homme ne peut être suffisamment unique pour battre les attaquants. C’est là que Authenticator peut vous aider! Puisque vous n'avez plus besoin de vous souvenir des mots de passe, Authenticator peut remplir automatiquement des mots de passe complexes et uniques pour vous ».

Des rumeurs avaient suggéré que Microsoft allait créer un gestionnaire de mots de passe complet pour son service grand public Microsoft 365. La fonction de remplissage automatique sera utile pour les utilisateurs de comptes Microsoft travaillant sur plusieurs appareils, bien qu'un gestionnaire de mots de passe complet comme 1Password ou LastPass reste toujours une bonne option.

Cette nouvelle fonctionnalité de remplissage automatique est disponible sous forme de Preview dans Microsoft Authenticator et vous devrez l'activer comme fournisseur de remplissage automatique par défaut dans les paramètres iOS ou Android de votre appareil. La saisie automatique fonctionne uniquement avec les comptes Microsoft grand public et est désactivée pour les utilisateurs d'entreprise qui utilisent l'application pour la connexion par téléphone ou l'authentification multifacteur. Les entreprises doivent rejoindre une liste d'autorisation pour l'activer pour les utilisateurs Microsoft Authenticator d'entreprise.

Source : Microsoft

Et vous ?

Que pensez-vous de l'authentification multifacteur ?
Vous en servez-vous systématiquement, pratiquement jamais, ou ça dépend de l'application / service / site ?
Quels facteurs utilisez-vous pour vous authentifier (clé numérique, empreinte, mot de passe envoyé par SMS, appel vocal, autre) ?
Avez-vous déjà utilisé Microsoft Authenticator ou une application similaire ?