Les nouveaux comptes Microsoft « n’auront jamais besoin d’enregistrer de mot de passe »

Raccoon

Dix ans après avoir annoncé vouloir se débarrasser des mots de passe et permettre à ses utilisateurs de se connecter de façon sécurisée à leurs comptes à l’aide de leur visage, de leurs empreintes digitales ou de leur code PIN, Microsoft exigera que ses nouveaux utilisateurs s’authentifient avec une « clef d’accès ».

Pour sa douzième édition, le premier jeudi du mois de mai, la « Journée mondiale du mot de passe » a été renommée « Journée mondiale de la clé d’accès » (« World Passkey Day ») par l’alliance FIDO (pour « Fast IDentity Online », en anglais). Cette dernière vise à développer et promouvoir des normes d’authentification qui « contribuent à réduire la dépendance excessive du monde aux mots de passe ».

• Clés d’accès (passkeys) : leur importance et leur fonctionnement
• Clés d’accès (passkeys) : après la théorie, place à la pratique !

Microsoft, en phase avec l’annonce de l’alliance FIDO, en a profité pour annoncer la poursuite de sa « transition vers un monde sans mots de passe en introduisant plusieurs changements significatifs », à commencer par le fait que les nouveaux comptes Microsoft seront désormais « sans mot de passe par défaut » (« passwordless by default », en VO).

Les nouveaux utilisateurs disposeront de plusieurs options d’authentification plus sûres (telles que la biométrie, les codes PIN ou les clés de sécurité pour se connecter à leur compte), « et ils n’auront jamais besoin d’enregistrer un mot de passe ». Les utilisateurs existants peuvent de leur côté se rendre dans les paramètres de leur compte pour supprimer leur mot de passe, précise Microsoft.

99 % se connectent à leur compte Microsoft à l’aide de Windows Hello

L’entreprise souligne qu’« aujourd’hui, plus de 99 % des personnes qui se connectent à leurs appareils Windows avec leur compte Microsoft le font à l’aide de Windows Hello », le service qu’elle avait lancé en 2015 pour se débarrasser des mots de passe et permettre à ses utilisateurs de se connecter de façon sécurisée à leurs comptes à l’aide de leur visage, de leurs empreintes digitales ou de leur code PIN.

• Windows 10 veut se débarrasser des mots de passe avec Hello et Passport

Microsoft souligne que « parce qu’ils ne saisissent pas de caractères complexes ou de codes à usage unique, les utilisateurs qui se connectent à l’aide d’une passkey réussissent trois fois mieux à accéder à leur compte que les utilisateurs de mots de passe (environ 98 % contre 32 %) » :

« L’année dernière, nous avons introduit la prise en charge des passkeys pour les comptes Microsoft dans nos applications et services grand public tels que Xbox et Copilot, et nous enregistrons aujourd’hui près d’un million de passkeys par jour. »

[…]

Article complet : next.ink

duJambon

Mais au final, c’est comme si on avait le même mot de passe pour tous les sites, le point faible étant microsoft, la seule cible à faire tomber… ce qui est arrivé déjà plusieurs fois.

Je préfère diversifier, double authentification et si possible, avec encore en plus une empreinte dans le smartphone, ce qui n’est malheureusement pas possible sous windows sans passer par microsoft, mais qui l’est chez samsung (android aussi est à éviter).

Violence

De toute manière le passkey commence à venir petit à petit et c’est bien plus secure qu’un password ou de l’envoi de SMS qui est comme le gruyère et facilement hackable.
Autant utiliser le passkey sur les sites le proposant, ce qui sera partout à terme.
Ou de l’Oauth, du yubikey ou du 2FA

On utilise les paires de clés cryptographiques depuis des lustres sous Linux.

Et ça tombe bien, car Keepass (Xc) ou Vaultwarden/Bitwarden ou certaines appli de gestion de password auto-hebergées prennent en charge la génération et le stockage de tous vos passkey.

---

Et pour un peu de détails IA sur comment ça marche :

C’est quoi une passkey ?

Une passkey (ou “clé d’accès” en français) est une méthode de connexion sans mot de passe, plus simple et plus sécurisée. Elle repose sur la cryptographie et s’utilise souvent avec :

• Une empreinte digitale
• La reconnaissance faciale
• Un code PIN local (sur ton téléphone ou ton ordinateur)

---

Comment ça fonctionne ?

1. Tu crées un compte ou te connectes à un site compatible avec les passkeys.

2. Au lieu de choisir un mot de passe, tu autorises ton appareil à générer une paire de clés cryptographiques :

   • Une clé publique (envoyée au site)
   • Une clé privée (gardée sur ton appareil sécurisé)

3. Lors de la connexion, le site envoie un défi à ton appareil.

4. Tu valides avec ton empreinte, visage ou code local.

5. Ton appareil signe ce défi avec ta clé privée → le site le valide avec la clé publique → tu es connecté.

---

Avantages :

• Plus de mot de passe à retenir ou à voler
• Beaucoup plus sécurisé (résiste au phishing, aux fuites de bases de données, etc.)
• Facile à utiliser (tu te connectes comme tu déverrouilles ton téléphone)

---

Où c’est déjà utilisé ?

• Apple (iCloud, Safari)
• Google (Gmail, Android)
• Microsoft
• Certains sites comme GitHub, PayPal, etc.

duJambon

• Samsung

Et j’ai oublié de dire qu’avec un tel système, s’il tombe en panne ou qu’il subit une attaque, on ne fait plus rien, un problème de plus.

Violence

@duJambon a dit dans Les nouveaux comptes Microsoft « n’auront jamais besoin d’enregistrer de mot de passe » :

• Samsung

Et j’ai oublié de dire qu’avec un tel système, s’il tombe en panne ou qu’il subit une attaque, on ne fait plus rien, un problème de plus.

Pareil avec les password et les DB.

C’est pas un passkey pr tout les sites.

duJambon

@Violence J’ai dû mal m’exprimer: si l’accès à microsoft n’est pas possible, on n’accède à plus rien, si le compte microsoft est piraté, le pirate a accès à tout.

Rien n’est parfait dans ce monde, on peut tout juste choisir la sauce avec laquelle on est mangé.

Violence

J’avoue ne pas bien comprendre

@duJambon a dit dans Les nouveaux comptes Microsoft « n’auront jamais besoin d’enregistrer de mot de passe » :

@Violence J’ai dû mal m’exprimer: si l’accès à microsoft n’est pas possible, on n’accède à plus rien,

Oui tout à fait, mais avec passkey ou avec mot de passe, c’est pareil.

@duJambon a dit dans Les nouveaux comptes Microsoft « n’auront jamais besoin d’enregistrer de mot de passe » :

… , si le compte microsoft est piraté, le pirate a accès à tout.

Sans la clé privée, impossible de se connecter. Avoir la clé publique seule ne ne sert à rien.

La clé privée est stockée de manière sécurisée sur ton appareil, même Microsoft ne peut pas utiliser ta passkey à ta place, car ils n’ont pas la clé privée.

C’est justement tout l’intérêt des passkeys : elles fonctionnent avec une clé privée qui ne quitte jamais ton appareil (PC, téléphone…). Le serveur Microsoft n’a que la clé publique, donc même si le compte Microsoft est “piraté” au niveau serveur, aucune authentification n’est possible sans ta clé privée, qui est localement protégée par biométrie ou code PIN.

De plus, c’est bien plsu résistant qux brute force et attaque apr dictionnaire qu’un mot de passe.

Dark

Pas sur que cela soit une bonne idée