Microsoft a-t-il vraiment éliminé les mots de passe ?
L'option de connexion sans mot de passe se diffuse sur les comptes Microsoft. Mais il y a des conditions. et des limites.
La fin des mots de passe sur les comptes Microsoft ? Oui, mais sous conditions.
L'éditeur commence à généraliser cette possibilité qu'il avait d'abord ouverte aux entreprises (en mars dernier). Sur le papier, on nous annonce cinq méthodes pour se débarrasser des mots de passe. En l'occurrence, l'application Microsoft Authenticator, Windows Hello, une clé de sécurité, un numéro de téléphone ou une adresse mail secondaire.
Dans la pratique, activer l'option « Compte sans mot de passe » nécessite d'installer Microsoft Authenticator. L'application émet une notification pour valider l'opération. Pas possible, tout du moins en l'état, d'utiliser des applications concurrentes - comme Google Authenticator. Quand bien même elles fonctionnent pour ajouter des méthodes d'authentification au compte.
Lire aussi : Six enseignements clés sur les mots de passe tirés de la mise à jour du cadre de cybersécurité du NIST
Autre remarque : il faut nécessairement ajouter au moins un mail ou un numéro de téléphone en guise de backup. Deux méthodes considérées plus faibles que les clés physiques, la biométrie et les applications d'authentification.
La suppression du mot de passe pose problème avec un certain nombre d'appareils et d'applications qui ne prennent pas en charge le 2FA (liste ci-dessous). Avec eux, il faut aller chercher, sur l'interface du compte Microsoft, des mots de passe aléatoires à usage unique.
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
Du côté de Microsoft, on se projette désormais sur l'élimination des mots de passe pour les comptes Azure Active Directory. Sans donner d'échéance.
Illustration principale © Tiko - Adobe Stock
Sur le même thème
Voir tous les articles Cybersécurité