Comment se passer de mots de passe avec Windows 10 ?

janvier 23, 2020 Aurélie Barrez Windows 0

Les mots de passe sont difficiles à retenir et faciles à perdre. Qu’il s’agisse de personnes réutilisant le même mot de passe faible sur plusieurs sites ou services qui ne protègent pas leurs données d’utilisateur et exposent les noms d’utilisateur et les mots de passe en cas de violation de données, les mots de passe simples n’offrent pas une protection suffisante. C’est pourquoi Windows 10 s’oriente vers des options plus sûres comme la biométrie, les jetons et l’authentification push, y compris la prise en charge des nouvelles normes d’identité Internet FIDO 2.

Les doigts et les visages

Windows Hello facilite grandement l’utilisation de la biométrie comme les capteurs d’empreintes digitales et les caméras infrarouges de reconnaissance faciale, en l’intégrant à votre mode de connexion standard, plutôt que de laisser les OEM ajouter cette fonctionnalité au processus du compte. Les visages, les doigts et d’autres facteurs biométriques comme les empreintes des veines de la main ne peuvent pas être hameçonnés comme des mots de passe, et ils ne sont pas envoyés sur le réseau ou parcourus entre les appareils comme les mots de passe le sont. Cela signifie que les attaquants qui accèdent à un réseau ne peuvent pas récupérer et réutiliser les informations d’identification d’un PC pour accéder aux serveurs. 

Windows 10 propose des sécurités avancées

Windows 10 dispose de protections telles que Credential Guard pour rendre l’accès aux informations d’identification plus difficile pour les attaquants en exécutant le service LSA qui les stocke en mode sécurisé virtuel. Il y a aussi un nouveau Cloud Credential Guard qui protège les identifiants de cloud comme les jetons Azure AD à l’aide de la liaison par jeton TLS. Cependant, le passage à la biométrie signifie que les justificatifs d’identité ne sont pas aussi vulnérables parce qu’ils ne sont pas envoyés dans les deux sens. L’enregistrement d’une biométrie comme une empreinte digitale ou un visage avec Windows Hello crée une paire de clés cryptographiques qui est stockée dans le TPM (ou un logiciel TPM) et utilisée avec les services d’identité comme les comptes Microsoft et Azure Active Directory. Si vous enregistrez la même empreinte digitale ou le même visage sur plusieurs PC Windows, chaque périphérique crée une paire de clés unique et non une copie de la paire de clés du premier périphérique. 

La solution NIP

Vous n’allez pas laisser votre visage ou vos empreintes derrière vous comme si vous pouviez oublier un mot de passe, mais vous avez toujours besoin d’un moyen de vous connecter si vous avez une coupure au doigt ou si vous travaillez dans un environnement inhabituellement sombre ou lumineux, où une caméra de reconnaissance faciale ne peut vous voir clairement. La solution de repli pour les données biométriques qui ne sont pas reconnues s’appelle toujours un NIP, mais en plus des chiffres, il peut inclure des caractères spéciaux et des lettres majuscules et minuscules comme un mot de passe. Les politiques d’entreprise dictent la complexité des NIP (l’édition familiale de Windows 10 se contente de seulement quatre chiffres dans votre NIP). Mais c’est le fait qu’ils ne sont stockés que sur l’appareil (et non sur d’autres appareils ayant le même compte) et utilisés uniquement pour déverrouiller la clé d’authentification utilisée pour signer les demandes aux serveurs (et non pour les envoyer à un serveur comme un mot de passe) qui rend les NIP plus sûrs que les mots de passe. 

De plus, les NIP sont stockés dans le MTP, alors que les mots de passe ne le sont pas. Si votre PC n’a pas de caméra faciale ou de capteur d’empreintes digitales, vous pouvez en brancher un dans un port USB, ou vous pouvez utiliser un “appareil compagnon” comme la bande Nymi qui utilise votre rythme cardiaque et votre ECG pour vous identifier. Avec la prochaine version de Windows 10, vous pourrez utiliser la biométrie Windows Hello pour vous connecter aux sessions Remote Desktop. Si vous vous êtes connecté à Windows à l’aide de la biométrie, vous serez automatiquement connecté au bureau distant lorsque vous ouvrez une session RDP (bien que si vous devez confirmer votre mot de passe Windows à l’intérieur de la session distante, par exemple pour élever un dialogue, vous devrez saisir le PIN). 

Les limites de la biométrie

Mais la biométrie ne fonctionne pas dans toutes les situations et pour toutes les personnes. Presque toutes les techniques biométriques, des empreintes digitales aux empreintes veineuses des mains en passant par les iris, ne fonctionnent que pour environ 80% de la population. Par exemple, certaines femmes chinoises plus âgées et certaines personnes qui travaillent dans les nettoyeurs à sec ont des empreintes digitales qui ne se numérisent pas bien.

Remplacer les mots de passe, c’est utiliser plusieurs facteurs, y compris d’autres dispositifs. Si vous avez une YubiKey pour des services comme Gmail, GitHub et DropBox, vous pouvez vous connecter à Windows Hello en l’insérant dans votre PC (vous aurez aussi besoin de l’application YubiKey pour Windows Hello). Vous pouvez utiliser un téléphone avec des messages texte ou une application d’authentification pour vous connecter à Windows, de la même manière que vous pouvez utiliser ce type d’authentification multifactorielle pour rendre la connexion à Twitter ou Gmail plus sûre, mais ce n’est pas particulièrement pratique. L’utilisation de votre téléphone pour verrouiller votre appareil lorsque vous vous éloignez de lui est cependant pratique ; une fois que vous avez jumelé un téléphone avec votre PC via Bluetooth, vous pouvez utiliser la fonction de verrouillage dynamique pour le verrouiller lorsque vous êtes hors de portée. Vous l’activez sous Options de connexion aux comptes dans l’application Paramètres. Les administrateurs peuvent utiliser la Configuration de l’ordinateur.

La praticité

Jusqu’à présent, Windows Hello n’a géré que votre mot de passe Windows, Microsoft Store et tous les services que vous avez configurés pour la connexion unique avec Azure Active Directory. Avec la prochaine version de Windows 10, vous allez enfin voir plus de standards FIDO 2. La prise en charge directe des clés de sécurité FIDO 2 comme les Yubikeys et les cartes à puce (sans avoir besoin d’une application spécifique pour chaque clé séparée) est en prévisualisation limitée. Ce n’est pas un changement majeur à Windows Hello, qui a été construit avec une version antérieure des protocoles FIDO. Il s’agit plutôt de le mettre à jour maintenant que les normes FIDO 2 pour les clés sécurisées et l’API d’authentification Web du W3C ont été adoptées. Cela signifie qu’un utilisateur avec une clé de sécurité FIDO 2 peut se connecter à n’importe quel PC Azure AD-joined sans avoir à créer au préalable un compte, ce qui est idéal pour les travailleurs de première ligne et mobiles.

Une cybersécurité avancée

Cela signifie également qu’à mesure que les navigateurs s’implémentent et que les sites Web adoptent la nouvelle API WebAuthn, Windows Hello pourra également commencer à remplacer les mots de passe dans le navigateur, en utilisant la biométrie ou les clés de sécurité FIDO UAF pour se connecter sans mot de passe lorsque les sites Web le permettent. WebAuthn prend également en charge l’option U2F à 2 facteurs, dans laquelle vous utilisez un nom d’utilisateur et un mot de passe et une clé de sécurité FIDO ou la biométrie Windows Hello comme deuxième facteur. Edge prend en charge une version de prévisualisation de WebAuthn depuis 2016. Dans la version 17723 (actuellement disponible pour Windows Insiders), Edge prend en charge la recommandation Candidate de l’API, même si elle ne fonctionne pas encore pour les applications PWA ou UWP qui sont basées sur le Web. Il n’y a pas encore beaucoup de sites qui supportent WebAuthn, mais vous pouvez l’essayer dans cet exemple d’application et il existe des instructions pour ajouter le support WebAuthn à vos propres sites internes. 

Plus de fournisseurs d’identité acceptés

En plus des nouveaux types de justificatifs d’identité, Windows va également prendre en charge directement un plus grand nombre de fournisseurs d’identité. Windows Hello fonctionne avec les serveurs Azure AD, Active Directory et des fédérations tierces qui supportent les extensions nécessaires à OAuth 20 OpenID Connect 10. Avec la prochaine version de Windows 10, la connexion Windows prendra en charge les fournisseurs d’identité SAML, pas seulement les identités fédérées à l’ADFS et aux autres fournisseurs WS-Fed. Vous aurez besoin d’Azure AD pour utiliser cette nouvelle connexion Web, et vous devrez activer la Politique CSP/Authentification/EnableWebSignIn Group Policy. Cela ne devrait pas ébranler la domination d’Active Directory dans l’entreprise, mais cela rend beaucoup plus pratique pour les organisations qui utilisent des systèmes SAML comme Oracle Identity Federation d’avoir ces comptes comme une option pour se connecter à Windows.

Autres articles similaires:

  1. Comment mieux protéger vos données en paramétrant Windows 10 ?
  2. Les étapes pour désactiver Windows Defender
  3. Comment limiter la consommation de données en Windows 10
  4. Les astuces à connaître pour économiser de l’espace avec Windows 10

Soyez le premier à commenter

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


*