Lorsque Windows 10 est apparu pour la première fois sur la scène, il permettait déjà aux utilisateurs de configurer des codes PIN au lieu de mots de passe. Cette méthode de connexion était facultative, mais maintenant Microsoft a décidé de remplacer entièrement les mots de passe par des codes PIN.
L'entreprise veut faire bouger les choses avec la prochaine version de Windows 10, actuellement connue sous le nom de 20H1. Prévue pour arriver dans un mois ou deux, la dernière mise à jour contient de nombreux changements surprenants.
Le plus notable est la décision de Microsoft de supprimer les mots de passe au profit des codes PIN. Mais qu'est-ce que cela signifie pour les utilisateurs de Microsoft 10 et la sécurité en général ?
Pourquoi Microsoft passe-t-il aux codes PIN ?
Les mots de passe sont une méthode d'authentification universelle. Vous pouvez utiliser des mots de passe pour la plupart des appareils, applications, sites Web et logiciels comme Windows. Et pourtant, les mots de passe ne sont pas la méthode d'authentification la plus sûre. Parfois, ils sont si faciles qu'on peut les deviner. Sinon, il existe de nombreuses façons de déchiffrer les mots de passe.
Si un mot de passe est compromis (ce qui est souvent le cas en raison de violations de données), plusieurs appareils et comptes sont menacés. Lorsqu'il s'agit d'un compte Microsoft, cela signifie que l'attaquant a accès à tout ce qui est lié à ce compte. Qui, entre autres, peut inclure des documents confidentiels, des notes, des applications, des e-mails et des informations de carte de crédit.
Pendant ce temps, un code PIN sécurise uniquement l'appareil sur lequel vous l'utilisez. Microsoft ne synchronise pas les codes PIN entre les appareils, ne les stocke pas sur leurs serveurs et ne les envoie jamais via la connexion réseau. C'est pourquoi Microsoft a choisi cette option. Diana Huang, directrice de l'ingénierie pour la sécurité Windows, l'a expliqué plus loin dans ce post.
Elle a dit que les mots de passe sont des clés symétriques, et "il y a toujours un serveur qui garde la trace de votre mot de passe ou de la clé symétrique." Les codes PIN fournissent un cryptage entropique et ne restent pas sur un serveur mais sur l'appareil à la place.
Microsoft stocke le code PIN de connexion localement sur une puce TPM inviolable. Ils utilisent un cryptage robuste pour garantir qu'il reste inviolable. Chaque fois que vous entrez le code PIN, le TPM le sale pour créer un hachage. Elle est ensuite comparée à la valeur stockée sur l'appareil.
Actuellement, les mots de passe sont également hachés, mais ils sont également faciles à déchiffrer. La situation est différente avec les NIP, car ce Message de Microsoft explique également en détail.
Lire la suite: Microsoft est prêt pour une nouvelle ère de Windows
Les avantages et inconvénients de l'utilisation d'un code PIN
Les codes PIN sont simples et ne constituent pas une nouvelle forme d'authentification. Même la façon dont Microsoft vise maintenant à les utiliser n'est pas une nouvelle forme de sécurité.
Beaucoup avaient utilisé des codes PIN avant qu'Internet ne devienne une nécessité quotidienne, et même après cela. Et après tout ce temps, ils constituent toujours une forme d'authentification sécurisée car :
- Ils sont stockés localement sur l'appareil et ne sont pas transmis en ligne.
- Le code PIN est soutenu par un cryptage matériel sur les appareils dotés d'un TPM (module de plate-forme de confiance) puce installée.
L'avantage le plus important d'un code PIN est que personne ne peut le voler lors d'une violation de données. Les logiciels malveillants ou les attaques par pulvérisation ne peuvent pas non plus leur nuire. Même si la broche est compromise, l'attaquant ne pourra toujours rien faire avec s'il n'a pas accès à cet appareil.
L'un des seuls moyens pour quelqu'un d'accéder à un compte Windows avec un code PIN est de voir quelqu'un le saisir puis voler l'appareil.
En attendant, il est possible et facile de voler des mots de passe. Les entreprises les stockent sur des serveurs séparés et les envoient sur Internet. Les codes PIN n'ont pas ce problème.
Cela dit, il y a encore une grosse mise en garde à cela. Quelques virus et logiciels malveillants accorder aux attaquants un accès complet à l'appareil. Ainsi, un pirate informatique n'aurait même pas besoin d'un accès direct à l'ordinateur pour le compromettre. Ainsi, bien que le nouveau système PIN Windows soit beaucoup plus sûr que les mots de passe, ne commettez pas l'erreur de penser qu'il est infaillible. Un faux sentiment de sécurité engendre la complaisance.
Même si les codes PIN sont plus sécurisés, les utilisateurs de Windows 10 doivent toujours être vigilants et protéger leurs appareils contre les attaques extérieures ou le vol.
Lire la suite: Office 365 est maintenant Microsoft 365, avec de nouveaux plans familiaux et personnels
L'avenir des mots de passe semble-t-il sombre ?
Pas entièrement. Malgré la volonté de Microsoft de supprimer les mots de passe, ils restent la forme d'authentification la plus courante. Au moins pour l'instant. D'autres méthodes d'authentification comme les empreintes digitales et la reconnaissance faciale se multiplient. Mais ils sont encore loin d'être mainstream.
Donc pour l'instant, non sécurisés ou non, les mots de passe restent le principal chien d'authentification. Mais cela ne signifie pas que les gens ne peuvent pas rester en sécurité tout en utilisant des mots de passe.
Mis à part les violations massives de données, de nombreuses personnes peuvent se reprocher d'avoir été piratées. La majorité a de terribles habitudes de mot de passe, y compris l'utilisation de mots de passe communs et simples. Et, bien sûr, beaucoup réutilisent le même mot de passe sur tous leurs comptes.
Certains outils existent et peuvent aider à atténuer ce problème. Par example, gestionnaires de mots de passe laissez les gens créer de nombreux mots de passe compliqués sans avoir à se souvenir d'eux. Ils n'ont qu'à retenir un mot de passe principal. Il résout déjà beaucoup de problèmes liés aux mots de passe.
Mis à part les gestionnaires de mots de passe, il est également crucial de suivre les règles de base la cyber-sécurité les pratiques. Il est essentiel d'éviter les menaces telles que les attaques de phishing. C'est une autre méthode populaire utilisée par les pirates pour voler des mots de passe.
De plus, 2FA devient de plus en plus courant. Certaines plates-formes, par exemple Yahoo, utilisent déjà des codes d'accès temporaires au lieu de mots de passe. Il garantit qu'un mot de passe compromis à lui seul ne permet pas aux cybercriminels d'accéder facilement aux comptes.
Les codes PIN sont peut-être le nouvel avenir de Microsoft, mais le reste du monde est encore très en "le mot de passe" camp. Ainsi, même si le passage aux codes PIN est inévitable sous Windows, les mots de passe sont toujours pertinents, tout comme les habitudes de mot de passe sécurisé.
Conclusion
Microsoft passe bientôt aux codes PIN obligatoires pour Windows, et c'est une bonne chose. L'utilisation d'un code PIN est un moyen beaucoup plus sûr de sécuriser les appareils et les comptes Microsoft. Cela dit, les mots de passe ne disparaîtront pas totalement pour le reste du monde, même si l'écosystème Windows décidait d'aller plus loin sans eux.