Microsoft propose à ses utilisateurs de vivre sans mot de passe

Mickaël Bazoge |

Les utilisateurs de Microsoft peuvent désormais vivre dans le plus merveilleux des futurs : un monde débarrassé de la tyrannie des mots de passe ! L'éditeur de Windows planche sur le sujet depuis des années, et il a finalement décidé de sauter le pas. Ceux qui veulent supprimer purement et simplement le mot de passe de leur compte Microsoft peuvent se rendre sur account.microsoft.com, cliquer sur Sécurité > Autres options de sécurité puis activer leur compte sans mot de passe.

Faites comme moi, vivez dans un univers fabuleux débarrassé de ces fichus mots de passe !

Bien sûr, il n'est pas question de se connecter à un compte Microsoft sans sécurité sérieuse. L'utilisateur devra se munir de l'application Microsoft Authenticator, disponible sur iOS et Android.

Après la configuration de l'application, la procédure d'identification sur un site ou une application de Microsoft nécessitera de sélectionner sur l'iPhone le chiffre qui s'affiche sur le vis-à-vis. Il y a en plus une protection Face ID/Touch ID histoire d'éviter les usurpations de smartphone.

L'identification de l'utilisateur peut également passer par une clé physique de connexion, Windows Hello (reconnaissance biométrique ou code du PC), ou encore via un système de code de vérification envoyé par e-mail. S'il est possible d'activer le mode sans mot de passe, on peut aussi revenir en arrière si on n'est pas à l'aise avec cette idée. Il faudra pourtant s'y faire, Apple aussi planche sur le sujet !

Passkeys et WebAuthn : Apple imagine un futur sans mots de passe

Passkeys et WebAuthn : Apple imagine un futur sans mots de passe

avatar koko256 | 

En théorie une bonne idée. Après comme c'est du bon vieux Microsoft, ils n'arrivent pas à corriger le bug de l'authentification par Apple Watch qui ne marche toujours pas après plusieurs années.... Je ne prendrai pas le risque de supprimer le mot de passe (généré aléatoirement par le gestionnaire de mot de passe).

avatar monsieurg33K | 

@koko256

Il faudrait que je ré-essaye mais j’ai compris récemment comment l’activer sur l’AW

avatar Ginger bread | 

@koko256

Tkt pas chez Apple c’est pareil, faut juste rester objectif.

avatar Malouin | 

@Ginger bread

Exemple !?

avatar Ginger bread | 

@Malouin

Il y a déjà eu plein d’articles sur les failles et bugs de Mac OS / iOS, donc parler de Microsoft c’est l’hôpital qui se fout de la charité.
Et les failles corrigées parfois 6/8 mois plus tard.
Aucune entreprise n est parfaite alors se moquer de Microsoft c est bien bas.

avatar noooty | 

@Ginger bread

Apple, l’hôpital qui se moque de Microsoft la charité ?
C’est plutôt le passant qui rigole devant des égouts dégoulinants de déchets.
😜

avatar koko256 | 

@Ginger bread

Non. Apple, les dev GNU/Linux/etc. et Google sur chrome OS corrigent les bugs pénibles et bien visibles plus vite que Microsoft. Je ne suis pas Apple fan mais la philosophie de gestion des bug de Microsoft (pendant un moment c'était pareil avec gnome) ne me convient pas. J'ai l'impression que pour Microsoft s'il y a un workaround, c'est du no fix.

avatar RonDex | 

@koko256

Synology a fait exactement la même chose avec DSM 7. On peut se connecter sans mot de passe avec l’application sur smartphone.
Ça fonctionne très bien.
Mais bon, honnêtement ça ne change pas grand-chose si on est un gestionnaire de mot de passe. Avec ce dernier, un clic Face ID et ça se connecte tout seul…🤷‍♂️

avatar thomasmsr | 

Perso j’ai fait le choix de laisser le trousseau iCloud générer mes mot de passe aléatoirement. J’ai également changé en mode aléatoires tous les mots de passe de mes comptes et sauvegardés dans le trousseau. Un bonheur de ne plus avoir de mot de passe à retenir à part celui d’iCloud. Là leur solution c’est juste pour un compte.

avatar thomasmsr | 

Perso j’ai fait le choix de laisser le trousseau iCloud générer mes mot de passe aléatoirement. J’ai également changé en mode aléatoires tous les mots de passe de mes comptes et sauvegardés dans le trousseau. Un bonheur de ne plus avoir de mot de passe à retenir à part celui d’iCloud. Là leur solution c’est juste pour un compte.

avatar thomasmsr | 

Perso j’ai fait le choix de laisser le trousseau iCloud générer mes mot de passe aléatoirement. J’ai également changé en mode aléatoires tous les mots de passe de mes comptes et sauvegardés dans le trousseau. Un bonheur de ne plus avoir de mot de passe à retenir à part celui d’iCloud. Là leur solution c’est juste pour un compte.

avatar arekusandoro | 

@thomasmsr

Comment tu as fais ?? Tu as pu changer les mots de passe du trousseau et que cela s’applique directement aux sites ?

avatar mandrak134 | 

Tout comme Adobe qui a aussi sa propre app d’Authentification.

avatar dorninem | 

@mandrak134

Adobe je ne sais pas mais moi j'utilise Microsoft Authentificator pour window, live, instagram, LinkedIn, nextdns, nuki et même tesla donc c'est très versatile et bonne appli rapide et sans chichi

avatar roccoyop | 

@dorninem

À quel moment t’as besoin de l’authentification avec le soft de Microsoft pour Nuki ?

avatar r e m y | 

Versatile: qui change facilement d'avis, instable, indecis.

L'adjectif anglais "versatile" se traduit par "polyvalent" en français.

avatar Quentin-Gabriel | 

@r e m y

Rah merci !! Je ne suis pas le seul à en avoir marre de cet abus de langage…

avatar occam | 

@r e m y

"L'adjectif anglais "versatile" se traduit par "polyvalent" en français."

Néologisme hybride gréco-latin, du grec πολύσ, multi-, et du latin valens. Pour être cohérent, il faudrait employer soit « multivalent », soit « polydyname ». Πολυδύναμο (polydynamo) est d’ailleurs en grec moderne l’adjectif qui traduit l’anglais versatile ou le français polyvalent, quand ce dernier est utilisé au sens générique, plutôt qu’au sens spécifique et précis du terme en chimie et en biologie.

Comme si souvent, à vouloir éviter Scylla, on se fait avaler par Charybde.

avatar bompi | 

Ce qui ne change rien au fait qu’utiliser “versatile” ici relève quand même de l’anglicisme flemmard. :-)

avatar Ingmar97432 | 

@occam

"Comme si souvent, à vouloir éviter Scylla, on se fait avaler par Charybde."

En l’espèce est-ce obligatoire de sodomiser les drosophiles? On pourrait aller loin et il y a très longtemps (avec une culture que je n’ai pas, contrairement à vous, ce dit sans aucune ironie) à ce jeu.

Rester dans l’emploi générique de ces mots semble à propos non?

En tous cas je trouve la remarque de remy intéressante, et vous aussi j’imagine sinon vous n’auriez pas pris le temps d’y répondre longuement 😬

avatar scribe | 

On apprend donc qu'occam se refuse à employer automobile, hypermarché, vélodrome ou, tiens, disons… vaseline ; ceci par hypersensibilité (aussi !… ) à l'hybridation… Purisme pas mort !

avatar furaton | 

@r e m y

👍🏻

avatar Tibimac | 

Je suis contre ce système sinon on vas finir avec une app par service (🤯😱) et en plus les gestionnaire de mot de passe si pratique qui auto-remplisse les champs ne serviront plus à rien 😞. Au final ce système n'est, je trouve, pas plus pratique car il faut plus de temps pour s'authentifier contrairement au "basique" ID + password.

avatar macam | 

Non, là on parle de supprimer l'ID et le mdp pour ne recourir seulement qu'à Authenticator, au lieu des deux à la fois.
(Sinon gaffe aux photos volées derrida...).

avatar fiouze | 

Je pense que ça va etre une évolution des gestionnaires de mots de passe: proposer de gerer ce genre de connexion en se passant du mot de passe. Je ne connais pas les détails techniques de ce qu'a fait Microsoft mais ça ne m'étonnerai pas qu'ils aient utilisé du code reposant sur un standard ou alors qu'ils vont essayer de standardiser ce qu'ils ont fait. Google le fait deja sur les smartphone Android. Si on peux se passer de mot de passe franchement ça sera pas plus mal.

avatar macam | 

Non, les identifiants et mots de passe resteront de rigueur sur les sites internet lambda. Là on parle de se connecter au compte Microsoft : lors de l'activation de ton PC celui-ci est enregistré sur les serveurs de Microsoft grâce à une puce présente sur la carte mère ; il ne reste alors plus qu'à renseigner depuis ce PC dans ton compte en ligne de Microsoft le numéro du smartphone sur lequel tu vas installer Authenticator pour que la jonction soit faite.

avatar david66 | 

J’utilise Authenticator depuis de nombreux mois, zéro couac, cela fonctionne particulièrement bien !

avatar R5555 | 

Du coup si tu perds ton smartphone, tu peux envoyer un mail à code sur ta boite mail 2 qui enverra du coup un mail à code à ta boite mail 1 (car double facteur elle aussi). Du coup, game over pour toi non ?

avatar Rajindael | 

@R5555

Le MFA requière pour éviter de se faire piéger de disposer de plusieurs « second facteur » (SMS, token physique, etc ). Certains site le recommande d’ailleurs lorsque tu active le MFA.

En l’occurence, parmis les moyens de s’authentifier FIDO (les seuls compatible sans pwd il me semble) tu as les token physique, genre yubikey.

Donc oui t’as plutôt intérêt de réfléchir avant de cliquer le bouton :)

avatar DahuLArthropode | 

@R5555

Je ne pense pas (voir mon commentaire plus bas).

avatar Quentame | 

« Sécurité » chez Microsoft —> 1 chance sur 3 de se connecter au lieu d’un million

avatar DahuLArthropode | 

Il me semble qu’Authentificator n’est pas indispensable : il ne fait que générer un nombre comme n’importe quel m système à deux facteurs.
Personnellement, j’utilise celui de 1Password et Office365 n’y voit que du feu.
Du coup, si je perds le téléphone, je peux toujours accéder au code depuis le PC... mais il me faut un mot de passe (celui de 1Password) car le déverrouillage par l’empreinte (Hello) ne fonctionne qu’après un premier déverrouillage.

avatar bubu16 | 

@DahuLArthropode

Ah non, ici on ne parle pas de codes générés par rapport au temps.

En fait, l’application de Microsoft permet de se connecter par notification. En gros elle joue le jeu d’un facteur de connexion physique.

avatar DahuLArthropode | 

@bubu16

Au temps... pour moi.

avatar mk3d | 

@DahuLArthropode
Au temps des roses, autant pour moi.

avatar DahuLArthropode | 
avatar mk3d | 

@DahuLArthropode
Au temps pour moi 🤦🏻‍♂️

avatar benjisop | 

C’est logique, ce sont les nouveaux principes de sécurité que Microsoft aime beaucoup appliquer en avance de phase. D’ici quelques années, ça sera très répandu.

avatar kkorkas | 

On passe de la tyrannie du mdp à la tyrannie du smartphone ! Sans smartphone chargé, à jour et à portée de main, plus de navigation sur internet ! Quel progrès…

avatar raoolito | 

@kkorkas

ca depend. là ca passe par le smartphone car microsoft n'a pas acces au materiel la plupard du temps. sur mac, on a la generalisation du touchID...
alors bon, sauf à parler de la dictature du clavier :) ...

avatar pat3 | 

Ce que je vois c’est qu’in fine le moyen de déverrouiller ta machine est… dans une autre machine, et plus rien n’est dans ta tête.
Si en plus ta maison est domotisée… on a un bon incipit de dystopie.

avatar byte_order | 

@pat3
> Ce que je vois c’est qu’in fine le moyen de déverrouiller ta machine est…
> dans une autre machine, et plus rien n’est dans ta tête.

Ben non, si vous disposez d'une machine supportant Windows Hello, le moyen de déverrouiller cette machine est bien sur cette machine et vous avez bien, littéralement, besoin de votre tête (mais pas forcément d'avoir quelque chose dedans ;-) ) !

avatar mk3d | 

Ils auraient pu intégrer tout ça au vaccin, pourquoi juste la 5G et pas ça! Quel dommage..

avatar byte_order | 

@mk3d

Mais c'est le cas.
Vous n'avez pas réussi à vous connecter sous Windows avec votre passe sanitaire, vous !?

:-)

avatar TiTwo102 | 

Euhhh, j’ai sûrement mal compris quelque chose. De ce que je retiens là, c’est en fait ni plus ni moins qu’une authentification en 2 facteurs à laquelle on enlève le premier facteur (le mot de passe).

J’ai raté quelque chose ? En quoi c’est plus sécurisé ? Je dirais plutôt l’inverse là.

avatar byte_order | 

@TiTwo102
> De ce que je retiens là, c’est en fait ni plus ni moins qu’une authentification en
> 2 facteurs à laquelle on enlève le premier facteur (le mot de passe).

Non. Ce qui change c'est qu'avant le mot de passe était le même pendant longtemps, alors que maintenant c'est un chiffre éphémère qu'il faut valider avec, en plus, un appareil déjà connu.
Cela fait bien toujours 2 facteurs.

> En quoi c’est plus sécurisé ? Je dirais plutôt l’inverse là.

Le chiffre est éphémère et généré à chaque demande de connexion, alors que le mot de passe est chez bien des gens nettement plus persistant (et hélàs souvent utilisé également ailleurs, donc en fuite...)

C'est donc pas moins sécurisé, non.

avatar TiTwo102 | 

@byte_order

D’accord merci.
C’est donc plus 2 fois un 2eme facteur, mais qui est donné différemment.

CONNEXION UTILISATEUR