Microsoft et Google font un tour de victoire autour des clés d’accès • The Register | Dmshaulers

Microsoft et Google font un tour de victoire autour des clés d'accès • The Register

Microsoft a déclaré aujourd’hui qu’il nous permettrait désormais aux gens ordinaires – et pas seulement aux abonnés commerciaux – de se connecter à leurs comptes et applications Microsoft en utilisant des clés d’accès avec leur visage, leur empreinte digitale ou le code PIN de leur appareil.

Le support supplémentaire pour les comptes utilisateurs Microsoft fonctionne à travers Les plates-formes Windows, Google et Apple, ainsi que Redmond, ont décrit cette décision comme un pas de plus vers leur rêve de 10 ans : “Un monde sans mots de passe”.

À partir de jeudi, les utilisateurs peuvent se connecter à leurs comptes Microsoft à l’aide de mots de passe via les navigateurs de bureau et mobiles, et on nous dit que la prise en charge des applications mobiles sera bientôt disponible.

Le moment n’est pas accidentel. Aujourd’hui est également la Journée mondiale des mots de passe, qui, bien qu’il s’agisse d’une fête inventée, marque généralement l’occasion pour les entreprises technologiques de se vanter de ce qu’elles font pour cesser d’exiger ou d’encourager les utilisateurs à se souvenir ou à noter des mots de passe uniques et forts d’une manière ou d’une autre. . pour chaque application et service en ligne qu’ils utilisent.

Fidèle à son habitude, Google a également marqué l’occasion en proclamant que sa prise en charge des clés d’accès, vieille d’un an, avait franchi une étape importante.

“Aujourd’hui, nous avons annoncé que les clés d’accès ont été utilisées pour authentifier les utilisateurs plus d’un milliard de fois sur plus de 400 millions de comptes Google”, ont déclaré les chefs de projet Sriram Karra et Christiaan Brand. dit.

Lorsque Microsoft a lancé Windows Hello et Windows Hello for Business en 2015, il a enregistré environ 115 attaques de mot de passe par seconde, selon Vasu Jakkal de Redmond, directeur de la sécurité, de la conformité, de l’identité et de la gestion, et Joy Chik, présidente de l’identité et de l’accès au réseau. .

À partir de 2023, il y avait des chiffres augmenté 3 378 pour cent à plus de 4 000 par seconde.

“Les attaques par mot de passe sont si populaires parce qu’elles donnent quand même des résultats”, Jakkal et Chik a écrit dans un article de blog annonçant la prise en charge du mot de passe.

“Il est malheureusement clair que les mots de passe ne suffisent pas à protéger nos vies en ligne”, ont-ils déclaré. “Peu importe la durée et la complexité de la création de votre mot de passe, ou la fréquence à laquelle vous le modifiez, cela présente toujours un risque.”

Les clés d’accès sont basées sur une norme de l’alliance FIDO prise en charge par Apple, Microsoft et Google. Considérez-les comme des remplacements de mots de passe.

La technique fonctionne simplement comme ceci : lorsque vous créez un compte pour un site Web ou une application, votre appareil génère une paire de clés cryptographiques publique-privée. Le backend du site Web ou de l’application obtient une copie de la clé publique et votre appareil conserve la clé privée ; la clé privée reste privée sur votre appareil. Lorsque vous vous connectez, votre appareil et le système d’authentification back-end interagissent à l’aide de leurs clés numériques pour prouver que vous êtes bien celui que vous prétendez être et que vous pouvez vous connecter. Si vous n’avez pas la clé privée ou ne pouvez pas prouver que vous l’avez, vous ne pouvez pas vous connecter.

Votre appareil peut sécuriser la clé privée localement en utilisant quelque chose comme une analyse biométrique du visage, un code PIN ou une empreinte digitale. Ainsi, si quelqu’un souhaite accéder à votre compte, il a besoin de votre appareil et du code PIN secret ou de l’analyse biométrique pour déverrouiller la clé privée (ou obtenir d’une manière ou d’une autre une copie de la clé privée). Cela est considéré comme plus sûr que de demander aux utilisateurs de mémoriser ou de stocker des mots de passe, et cela garantit une paire de clés unique par utilisateur. compte. Pour ceux qui s’interrogent sur l’authentification multifacteur, c’est un peu compliqué : en règle générale, un méchant doit mettre la main sur votre appareil physique et votre secret ou une partie physique de vous pour accéder à la clé privée.

“Comme cette combinaison de paires de clés est unique, votre mot de passe ne fonctionnera que sur le site Web ou l’application pour lequel vous l’avez créé, vous ne pouvez donc pas être amené à vous connecter à un site similaire malveillant”, a expliqué Microsoft. “C’est pourquoi nous disons que les clés d’accès sont ‘résistantes au phishing’.”

En fin de compte, ils visent à simplifier la sécurité des utilisateurs en s’appuyant sur une analyse du visage ou des empreintes digitales au lieu d’exiger que les gens se souviennent d’un mot de passe unique de 47 caractères pour chaque foutue application et site Web auquel ils accèdent, qui comprend de grosses lettres, des lettres minuscules, des chiffres, des caractères spéciaux. , et le nom de votre premier animal de compagnie, mais seulement s’il s’agissait d’une perruche.

“La meilleure chose à propos des clés d’accès est que vous n’aurez plus jamais à vous soucier de créer, d’oublier ou de réinitialiser des mots de passe”, selon Jakkal et Chik.

Pour être honnête, c’est probablement une exagération. Les criminels sont rusés et peuvent trouver des moyens de briser cette dernière approche – et nous ne parlons pas de couper les doigts ou le visage des gens.

Mais en cette Journée mondiale des mots de passe, nous espérons pouvoir profiter de la simplicité et de la sécurité des mots de passe pendant encore au moins un an. ®

Leave a Reply

Your email address will not be published. Required fields are marked *