Le nouveau « Passwordless by default » de Microsoft est excellent, mais il a un coût

baeba · 2025-05-07T10:16:40+09:00

Microsoft a introduit une approche qui applique par défaut la connexion sans mot de passe (passkey) aux nouveaux comptes, mais en pratique, elle impose la contrainte d’installer l’application Microsoft Authenticator. Les passkeys sont une méthode d’authentification de nouvelle génération, résistante au phishing et aux fuites, fondée sur le standard WebAuthn (FIDO2), et fonctionnent avec une paire de clés publique/privée. Cette mesure renforce la sécurité, mais une architecture dépendante d’une application spécifique peut nuire en partie à l’expérience utilisateur et aux bénéfices de sécurité. 1. La politique de Microsoft de « connexion par défaut sans mot de passe » À partir de 2025, Microsoft adoptera les passkeys comme méthode de connexion par défaut pour les nouveaux comptes Microsoft. Les utilisateurs existants seront eux aussi incités à enregistrer une passkey lors de la connexion. Objectif : Réduire les menaces de sécurité et la charge pour les utilisateurs liées à la création et à la gestion des mots de passe. Tenter de résoudre les problèmes d’attaques par password spraying et de fuites. 2. Aperçu technique et mode d’implémentation Qu’est-ce qu’une passkey ? Authentification via une paire de clés publique/privée générée sur la base de WebAuthn(FIDO2). La clé privée est stockée sur l’appareil de l’utilisateur (téléphone, PC, YubiKey, etc.) et n’est pas exposée à l’extérieur. Résistance native au phishing, à la réutilisation des mots de passe et aux fuites. Principe de fonctionnement : Le site envoie un « challenge » basé sur une valeur aléatoire → l’authenticator de l’appareil signe → le serveur vérifie avec la clé publique. Les clés étant liées à l’URL concernée, elles ne peuvent pas être réutilisées sur un site de phishing. 3. Contraintes et limites Problème : même si une passkey est configurée, il est impossible de supprimer complètement le mot de passe sans l’application Microsoft Authenticator. Authy, Google Authenticator et d’autres ne sont pas compatibles. Cela revient à imposer l’installation d’une application aux utilisateurs, ce qui entre en contradiction avec l’affirmation « passwordless by default ». Implications en matière de sécurité : Si un mot de passe subsiste, une partie des avantages de sécurité des passkeys est perdue. WebAuthn est encore en cours d’évolution, et présente toujours des lacunes en matière d’utilisabilité.

(arstechnica.com)

1 points par baeba 2025-05-07 | Aucun commentaire pour le moment. | Partager sur WhatsApp

Microsoft a introduit une approche qui applique par défaut la connexion sans mot de passe (passkey) aux nouveaux comptes, mais en pratique, elle impose la contrainte d’installer l’application Microsoft Authenticator.
Les passkeys sont une méthode d’authentification de nouvelle génération, résistante au phishing et aux fuites, fondée sur le standard WebAuthn (FIDO2), et fonctionnent avec une paire de clés publique/privée.
Cette mesure renforce la sécurité, mais une architecture dépendante d’une application spécifique peut nuire en partie à l’expérience utilisateur et aux bénéfices de sécurité.

1. La politique de Microsoft de « connexion par défaut sans mot de passe »

À partir de 2025, Microsoft adoptera les passkeys comme méthode de connexion par défaut pour les nouveaux comptes Microsoft.
Les utilisateurs existants seront eux aussi incités à enregistrer une passkey lors de la connexion.
Objectif :
- Réduire les menaces de sécurité et la charge pour les utilisateurs liées à la création et à la gestion des mots de passe.
- Tenter de résoudre les problèmes d’attaques par password spraying et de fuites.

2. Aperçu technique et mode d’implémentation

Qu’est-ce qu’une passkey ?
- Authentification via une paire de clés publique/privée générée sur la base de WebAuthn(FIDO2).
- La clé privée est stockée sur l’appareil de l’utilisateur (téléphone, PC, YubiKey, etc.) et n’est pas exposée à l’extérieur.
- Résistance native au phishing, à la réutilisation des mots de passe et aux fuites.
Principe de fonctionnement :
- Le site envoie un « challenge » basé sur une valeur aléatoire → l’authenticator de l’appareil signe → le serveur vérifie avec la clé publique.
- Les clés étant liées à l’URL concernée, elles ne peuvent pas être réutilisées sur un site de phishing.

3. Contraintes et limites

Problème : même si une passkey est configurée, il est impossible de supprimer complètement le mot de passe sans l’application Microsoft Authenticator.
- Authy, Google Authenticator et d’autres ne sont pas compatibles.
- Cela revient à imposer l’installation d’une application aux utilisateurs, ce qui entre en contradiction avec l’affirmation « passwordless by default ».
Implications en matière de sécurité :
- Si un mot de passe subsiste, une partie des avantages de sécurité des passkeys est perdue.
WebAuthn est encore en cours d’évolution, et présente toujours des lacunes en matière d’utilisabilité.

Le nouveau « Passwordless by default » de Microsoft est excellent, mais il a un coût

1. La politique de Microsoft de « connexion par défaut sans mot de passe »

2. Aperçu technique et mode d’implémentation

3. Contraintes et limites

À lire aussi

Aucun commentaire pour le moment.