Microsoft : vers l'authentification à double-facteur

Le par  |  12 commentaire(s)
Microsoft-securite-authenticator

Microsoft devrait prochainement ajouter l'authentification à double-facteur pour une connexion aux comptes.

À la manière de la validation en deux étapes que propose Google avec l'application Google Authenticator, Microsoft œuvre manifestement à une authentification à double-facteur (une authentification forte) selon des informations et détails obtenus par LiveSide.

Cette fonctionnalité de sécurité concernerait les comptes Microsoft pour une connexion à des appareils et services. Elle serait basée sur l'association du mot de passe traditionnel et d'un code de six chiffres généré avec une application spécifique installée sur le smartphone de l'utilisateur. Ce code - et donc deuxième facteur - changerait fréquemment.

Microsoft-Authenticator

Rappelons au passage qu'il est déjà possible de se connecter à un compte Microsoft avec un code à usage unique envoyé par SMS plutôt qu'avec un mot de passe. Avec l'authentification à double-facteur, ce sont deux éléments complémentaires qui sont nécessaires.

La sécurité est renforcée avec un contrôle d'accès plus strict même si cela occasionne quelques contraintes supplémentaires pour l'utilisateur, sans compter une adaptation pour des applications tierces.

La présence d'une application dédiée dans le Windows Phone Store fait penser que la nouvelle fonctionnalité de sécurité ne tardera pas. Une capture d'écran de LiveSide indique une disponibilité pour iOS, Android et BlackBerry.

Microsoft-compte-authenticator-app 

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1257222
@Jérôme G.
Dans le jargon sécuritaire on appelle ça "l'authentification forte"
Le #1257412
Ouai bha 90% des utilisateurs lâcheront..... déjà que certain ou du mal à retenir un mot de passe alors là.....
Le #1257452
Nerthazrim a écrit :

@Jérôme G.
Dans le jargon sécuritaire on appelle ça "l'authentification forte"


Et en langage populaire ca se dit : "encore une perte de temps pour accéder à ses brols"
patheticcockroach Hors ligne VIP 7663 points
Le #1257512
"La sécurité est renforcée avec un contrôle d'accès plus strict même si cela occasionne quelques contraintes supplémentaires pour l'utilisateur"
=>Sécurité = confidentialité, intégrité, __ACCESSIBILITE___. Pour un non kikoolol qui n'égare pas ses mots de passe et ne choisis pas comme mot de passe "1234" ou "football", la sécurité n'est pas nécessairement renforcée mais même potentiellement diminuée.
Le #1257562
patheticcockroach a écrit :

"La sécurité est renforcée avec un contrôle d'accès plus strict même si cela occasionne quelques contraintes supplémentaires pour l'utilisateur"
=>Sécurité = confidentialité, intégrité, __ACCESSIBILITE___. Pour un non kikoolol qui n'égare pas ses mots de passe et ne choisis pas comme mot de passe "1234" ou "football", la sécurité n'est pas nécessairement renforcée mais même potentiellement diminuée.


"__ACCESSIBILITE__" ... CQFD
Le #1257672
C'est donc lui le facteur qui sonne 2 fois ?
Le #1257722
patheticcockroach a écrit :

"La sécurité est renforcée avec un contrôle d'accès plus strict même si cela occasionne quelques contraintes supplémentaires pour l'utilisateur"
=>Sécurité = confidentialité, intégrité, __ACCESSIBILITE___. Pour un non kikoolol qui n'égare pas ses mots de passe et ne choisis pas comme mot de passe "1234" ou "football", la sécurité n'est pas nécessairement renforcée mais même potentiellement diminuée.


Euh non, absolument pas. La sécurité ne s'occupera jamais de savoir si c'est plus compliqué pour les utilisateurs d'accéder à une ressource ou pas.
L'ACCESSIBILITE n'a jamais fait partie de ses critères ! Je ne sais pas où tu as appris ça mais c'est une connerie finie.
Les départements sécurité proposent des solutions, si elles sont rejetées parce que trop contraignantes, d'autres peuvent être trouvées mais ce n'est pas leur problème.

Tu dois confondre avec DISPONIBILITE et pas accessibilité ce qui n'est absolument pas la même chose. Les guss' de la sécurité s'assurent que la ressource soit utilisable et ce quelques soient les conditions mais pas de savoir si la ressource est "user-friendly" à atteindre ou pas ...

Les 3 critères pour une analyse de risques cohérente d'un système d'information sont les 2 que tu as cité et la dispo :
- Intégrité (s'assurer que la ressource n'est pas corrompue et lisible)
- Disponibilité (s'assurer que la ressource est atteignable n'importe quand)
- Confidentialité (s'assurer que seules les personnes habilitées ont accès à cette ressource)

EDIT : pour moins généraliser, certaines équipés sécu prennent évidemment en compte le fait qu'une ressource soit plus difficile à atteindre et donc s'occupent du "bien être" de leurs utilisateurs. Mais dans ce contexte, chez Crosoft, je doute très fortement que ça soit eux qui s'en chargent ...
Le #1257812
2 mots de passe.... et quand on verra que c'est pas une garantit ultime on passera à 3 !
On va où là ?
Mieux vaut un seul et unique mot de passe, mais de grâce, pas limité aux caractères alphanumériques, mais incluant des symboles mathématiques, des accents, des espaces, etc... etc...
Le #1257892
DeepBlueOcean a écrit :

2 mots de passe.... et quand on verra que c'est pas une garantit ultime on passera à 3 !
On va où là ?
Mieux vaut un seul et unique mot de passe, mais de grâce, pas limité aux caractères alphanumériques, mais incluant des symboles mathématiques, des accents, des espaces, etc... etc...


Le but ce n'est pas 2 mots de passe ... C'est justement l'authentification forte.
Tu as 3 façon d'authentifier une personne :
- ce qu'il sait (typiquement un mot de passe)
- ce qu'il est (avec la biométrie)
- ce qu'il possède (ici, par exemple, avec son téléphone et une appli dédiée)

Lorsque tu utilises _au moins_ 2 de ces critères, c'est appelé de l'authentification forte. Jusqu'à présent on n'a pas trouvé meilleure protection.
Certains systèmes ultra-sensibles de certaines sociétés réclament déjà les 3 (et souvent les 3 de plusieurs personnes simultanément, selon le principe du partage des secrets)
patheticcockroach Hors ligne VIP 7663 points
Le #1258132
Nerthazrim a écrit :

patheticcockroach a écrit :

"La sécurité est renforcée avec un contrôle d'accès plus strict même si cela occasionne quelques contraintes supplémentaires pour l'utilisateur"
=>Sécurité = confidentialité, intégrité, __ACCESSIBILITE___. Pour un non kikoolol qui n'égare pas ses mots de passe et ne choisis pas comme mot de passe "1234" ou "football", la sécurité n'est pas nécessairement renforcée mais même potentiellement diminuée.


Euh non, absolument pas. La sécurité ne s'occupera jamais de savoir si c'est plus compliqué pour les utilisateurs d'accéder à une ressource ou pas.
L'ACCESSIBILITE n'a jamais fait partie de ses critères ! Je ne sais pas où tu as appris ça mais c'est une connerie finie.
Les départements sécurité proposent des solutions, si elles sont rejetées parce que trop contraignantes, d'autres peuvent être trouvées mais ce n'est pas leur problème.

Tu dois confondre avec DISPONIBILITE et pas accessibilité ce qui n'est absolument pas la même chose. Les guss' de la sécurité s'assurent que la ressource soit utilisable et ce quelques soient les conditions mais pas de savoir si la ressource est "user-friendly" à atteindre ou pas ...

Les 3 critères pour une analyse de risques cohérente d'un système d'information sont les 2 que tu as cité et la dispo :
- Intégrité (s'assurer que la ressource n'est pas corrompue et lisible)
- Disponibilité (s'assurer que la ressource est atteignable n'importe quand)
- Confidentialité (s'assurer que seules les personnes habilitées ont accès à cette ressource)

EDIT : pour moins généraliser, certaines équipés sécu prennent évidemment en compte le fait qu'une ressource soit plus difficile à atteindre et donc s'occupent du "bien être" de leurs utilisateurs. Mais dans ce contexte, chez Crosoft, je doute très fortement que ça soit eux qui s'en chargent ...


Au temps pour moi, néanmoins au sens large, disponibilité et accessibilité se rejoignent. Et ne pas tenir compte de l'utilisateur alors qu'on sait très bien que la plus grosse faille de sécurité se situe entre la chaise et le clavier, ça semble un peu suicidaire, tout de même...
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]