Nous savons que Microsoft n’aime pas les mots de passe. Récemment dans un long article le géant a tenté de convaincre d’utiliser d’autres méthodes d’authentification.
Cette publication a eu lieu le 5 mai dernier à l’occasion de la journée mondiale du mot de passe. Microsoft met en avant plusieurs façons de protéger ses comptes et ses données. Nous avons différentes approches dont l’utilisation de Windows Hello disponible sur certains appareils Windows. Il est également possible d’utiliser l’application Microsoft Authenticator et si un mot de passe est obligatoire il doit être pensé pour être très difficile à trouver.
Vasu Jakkal (Corporate Vice President, Security, Compliance, Identity, and Management) précise
Plutôt que d’empêcher les attaquants d’entrer, les mots de passe faibles fournissent un moyen officiel de les faire entrer. L’utilisation et la réutilisation de mots de passe simples sur différents comptes peuvent faciliter notre vie en ligne, mais cela laisse également la porte ouverte aux pirates.
Les attaquants font régulièrement défiler les comptes de médias sociaux à la recherche de dates de naissance, de lieux de vacances, de noms d’animaux de compagnie et d’autres informations personnelles […] Une récente étude révélée que 68% des personnes utilisent le même mot de passe pour différents comptes.
Par exemple, une fois qu’une combinaison de mot de passe et d’e-mail a été compromise, elle est souvent vendue sur le Dark Web pour être utilisée dans des attaques supplémentaires.
Mot de passe, complexité et unicité
Ainsi Microsoft conseille des mots de passe comportant au minimum 12 caractères dont des combinaisons de lettres majuscules et minuscules, de chiffres et de symboles. Il ne doit pas être un mot disponible dans un dictionnaire et doit être complètement différent des autres mots de passe. Du coup l’utilisation d’un gestionnaire de mots de passe est recommandée.
La meilleure approche est cependant d’arrêter de les utiliser. Microsoft explique
Dans le cadre d’une collaboration historique, l’Alliance FIDO, Microsoft, Apple et Google ont annoncé leur intention d’étendre la prise en charge d’une norme commune de connexion sans mot de passe.
Communément appelées clés d’accès, ces informations d’identification FIDO multi-appareils offrent aux utilisateurs un moyen natif de la plate-forme de se connecter rapidement et en toute sécurité à l’un de leurs appareils sans mot de passe. Pratiquement impossible à hameçonner et disponible sur tous vos appareils, une clé d’accès vous permet de vous connecter simplement en vous authentifiant avec votre visage, votre empreinte digitale ou le code PIN de votre appareil.
“Ainsi Microsoft conseille des mots de passe comportant au minimum
12 caractères dont des combinaisons de lettres majuscules et
minuscules, de chiffres et de symboles.”
Peu importe la longueur ou complexité, si le système d’authentification
permet un nombre d’essai illimité alors ce n’est qu’une question de
temps avant qu’il ne soit découvert par force brute.
“Du coup l’utilisation d’un gestionnaire de mots de passe est
recommandée.”
Mettre tous ses oeufs dans le même panier ne me semble pas être l’idée
du siècle…
Que de créer des problèmes à tous ceux qui veulent un mot de passe impossible à saisir ?
Empreintes digitales
“Mettre tous ses oeufs dans le même panier ne me semble pas être l’idée
du siècle…”
Pile poil le genre de remarque qui conforte le quidam dans l’idée que de réutiliser son/ses mots de passe n’est pas si mal…
Il faut s’intéresser en profondeur à la sécurité offerte pour en comprendre le bien fondé…
Les clés FIDO sont une solution mais les mots de passe vont rester présents sur nombre de systèmes pendant encore longtemps…
Du coup, les gestionnaires de mots de passe ont tout leur sens.
Si vraiment vous êtes craintif, vous pouvez compléter cela par la technique du double aveugle : ajout d’un complément perso au mot de passe aléatoire stocké dans le gestionnaire de mots de passe…
Qu’attends-tu pour retirer tes dépôts bancaires? La combinaison d’un
digicode limité à quelques essais ne semble pas avoir provoqué de
fraude massive…
Par ailleurs, les banques sérieuses pourraient également régionaliser
l’accès ligne en bloquant par défaut les connexions (cf. adresse IP)
depuis l’étranger avec possibilité pour l’utilisateur d’activer au
préalable depuis son lieu de résidence un accès vers le pays de
destination pour ses voyages d’affaire ou de tourisme.
Oser dire des propos aussi farfelus sans se renseigner, de quoi effrayer l’utilisateur de retirer ce qui est bancaire de sa machine ?
Aucune Banque n’a prévue ce procédé par adresse IP, donc on se renseigne et on lit, merci.