L'identification à double facteur a été largement adoptée par les prestataires de services en ligne ces dernières années, afin notamment de faire face à une recrudescence des piratages de comptes. Qu'il s'agisse de comptes de réseaux sociaux, sur les sites de vente en ligne, de forums et autres... Ils sont un peu plus nombreux chaque jour à adopter l'authentification forte par défaut, ou à la proposer en option.
Le système est simple : l'utilisateur dispose d'un login et d'un mot de passe, mais il doit également fournir un code supplémentaire pour s'identifier, qui est généré à chaque connexion et transmis via SMS ou eMail (ou généré toutes les minutes sur une clé ou une application tierce).
Dans le cas où un pirate mettrait la main sur un login et son mot de passe associé, le site qui repère une connexion depuis une adresse IP ou localisation inhabituelle demande alors à l'utilisateur de communiquer le code de confirmation reçu sur son smartphone... Sans ce code, impossible de se connecter et le pirate ne peut donc pas aller plus loin.
Selon Microsoft, cette technique se montre fiable à 99,9% et il n'y a donc pas de raison de plancher sur d'autres techniques plus sécurisées. Reste que le 0.1% restant intéresse les chercheurs en sécurité.
Il a été démontré qu'il était possible, via des techniques nécessitant d'importants moyens, de récupérer les codes envoyés via les SMS, et donc de d'identifier à sa place sur certains espaces en ligne. Malgré tout Microsoft suggère de basculer vers des méthodes d'authentification sans mot de passe avec des protocoles comme le WebAuthn et CTAP2 associés aux clés FIDO2.
Le système Windows Hello misant sur les données biométriques est évidememnt également mis en avant par Microsoft pour renforcer la sécurité des comptes.
