Dans les options de sécurité avancées d'un compte Microsoft, il est désormais proposé d'augmenter la sécurité... en supprimant le mot de passe. Cette option de compte sans mot de passe apparaît à côté de l'authentification en deux étapes où le mot de passe n'est pas supprimé.

microsoft-compte-sans-mot-de-passe

L'authentification sans mot de passe avait déjà fait l'objet d'un déploiement en début d'année pour tous les utilisateurs d'Azure Active Directory grâce à des technologies comme l'API Web Authentication (WebAuthn) et Fast Identity Online (FIDO2).

Au cours des prochaines semaines, le déploiement concerne maintenant tous les détenteurs d'un compte Microsoft personnel. Le cas échéant, la connexion pourra se faire avec l'application Microsoft Authenticator, Windows Hello (biométrie), une clé de sécurité physique ou un code de vérification par SMS ou email.

Avant de supprimer le mot de passe, il est nécessaire d'installer l'application Microsoft Authenticator sur smartphone et de la lier au compte Microsoft. À noter qu'un retour en arrière est possible en désactivant le compte sans mot de passe, puis en rajoutant un mot de passe.

Les mots de passe perçus comme une vulnérabilité

Avec le mot de passe, Microsoft pointe du doigt plusieurs problèmes dont une dérive connue des utilisateurs à choisir des mots de passe pas suffisamment robustes, ce dont les attaquants savent tirer parti. Au-delà, Microsoft estime que " les mots de passe sont incroyablement difficiles à créer, à retenir et à gérer pour tous les comptes de notre vie. "

Même la vérification en deux étapes n'est pas jugée pleinement satisfaisante quand elle est disponible. Pour autant, elle réduit grandement le risque de compromission d'un compte.

" La vérification de l'identité par un mot de passe et un facteur supplémentaire a été utile, mais les attaquants commencent déjà à contourner la deuxième étape. Tant que les mots de passe feront partie de l'équation, ils seront vulnérables. "

À voir si le pas sera effectivement franchi de manière massive. Sinon, il y a toujours le recours à un gestionnaire de mots de passe et l'authentification à plusieurs facteurs.