Dans un post de blog, Liat Ben-Zur, vice-présidente chez Microsoft, a détaillé comment l’entreprise compte éliminer les mots de passe des connexions à ses services.
1 « J'aime »
« …une clé de sécurité physique… »
Que se passe il en cas de cassé ou de pertes de la clé , on va chez le cyber serrurier ?
2 « J'aime »
Pas de mot de passe, pas de mot de passe … toujours est il qu’ils nous jambonnent bien avec leur double-authent’ à toutes les sauces.
J’ai une partie de mes appareils qui ne supportent pas la plaisanterie. Bon, ceci dit c’est pour Office3615 du taf (y’a pas de chiffre en trop).
« Marche pas ? … Tant pis ! »
1 « J'aime »
Perds ton mobile, tu l’as bien profond.
Non car clé de récupération dans le cas d’une application d’authentification mais de toutes manières, Microsoft donne ici plusieurs possibilités et deux d’entre elles ne nécessitent pas de mobile 
1 « J'aime »
Il reste toujours l’option d’employé une autre méthode. Il faut juste avoir noté le MDP quelque part parce que après plusieurs mois voir années sans l’utiliser, il y a peu de chance de s’en rappeler 
1 « J'aime »
La question ne se limite pas à Micro$oft, mais aux services distants en général.
Aujourd’hui de plus en plus de banque t’oblige à passer par ton mobile pour valider la transaction. Sauf que le jour où tu es bloqué, sans mobile tu ne peux plus faire grand chose c’est un vrai problème.
1 « J'aime »
Il faut être connecté, ça va coûter une blinde quand on voyage…
Si ce n’était pas dans le cloud, il n’y aurait aucun problème…
Mais le but est de maximiser les chances d’être éligible au Cloud Act, l’espionnage industriel en grand.
1 « J'aime »
faut envoyer un courrier électronique, sans s’électrocuter en léchant l’enveloppe
1 « J'aime »
Ces nouvelles sécurités sont en réalité très dangereuses pour les utilisateurs et ont très souvent des conséquences plus graves que le faible risque d’avoir son mot de passe volé.
Un changement de téléphone ou de numéro de téléphone peut faire perdre l’accès à des comptes si l’utilisateur ne pense pas à faire le nécessaire sur tous les services à double authentification avant de réinitialiser son téléphone, le changer ou de résilier son numéro car toute la sécurité est basée sur un élément qui n’est plus à la disposition de l’utilisateur.
Il y a d’ailleurs des cas similaires même si ce n’est pas de la double authentification avec Orange qui supprime les boites mails après résiliation et empêche de recevoir des mails de confirmation exigés par certains services.
1 « J'aime »
Les services en général (puisque tu veux généraliser quand bien même c’est pas aussi facile) c’est pareil soit tu reçois le code sur mobile ou par e-mail pour les plus light en terme de mise en place du 2FA sinon une application d’authentification a toujours un code de récupération. Parfois même les applications et services eux même disposent d’une code de récupération en plus.
@ jvachez
Les applications d’authentification peuvent être proposées en version «cloud» par exemple j’utilise bitwarden en version premium avec la gestion 2FA et bien si je perd mon téléphone je n’ai qu’a invalider le token d’accès de l’app mobile depuis l’interface web et continuer à utiliser celle ci pour mes codes d’authentification ou l’extension web et puis quand j’aurais de nouveau un mobile réinstaller l’app bitwarden. Comme quoi y’a pas photo sur la sécurité d’un mot de passe classique et d’un mot de passe fort + 2FA.
Un seul mot de passe pour tous les sites ou presque :
- au moins 8 caractères voire 10
- au moins une majuscule
- au moins un chiffre
Sur Apple, c’est encore plus simplifié : c’est le TouchID. Même pour Amazon par exemple, c’est votre mot de passe d’ouverture de session qui remplace le précédent plus compliqué.
Les services de paiement en ligne ou plutôt votre banque vous demande(nt) en plus une confirmation par code SMS. C’est lourd tout cela.
Heureusement à force, la banque vous envoie par voie postale un code unique définitif parce qu’effectivement sans le portable vous ne pouvez rien faire.
C’est gonflant les mots de passe. Sur Linux je me souviens : à une époque on pouvait ouvrir une session en root sans mot de passe. Aujourd’hui on hurlerait je ne sais quoi à ce propos.
Je généralise parce que c’est une tendance globale, et la récupération n’est pas toujours là.
C’est très bien cette solution supplémentaire.
Les mots de passe c’est la plaie.
Et surtout une sécurité illusoire et hypocrite.
Quant à perdre sa clé, son mdp, son portable, etc. il existe pourtant une solution simple, beaucoup moins de risque de perdre ses doigts ou son visage.
Surtout qu’est admis et accepté :
« Hb$hn78 »
Mais refusé
« Longtemps je me suis levé de bonne heure »
Pourtant le deuxième plus facile à mémoriser me semble plus compliqué à craquer.
1 « J'aime »
Oui, c’est refusé en ligne parce qu’il n’y a que 7 caractères.
Mais ça marche pour un mot de passe d’ouverture de session sur son ordinateur.
Dans ce dernier cas, tu peux même faire encore plus simple.
Colles-en 8,10 ou 12 si tu veux.
Mon propos est de dire que les phrases faciles à retenir ne sont pas autorisées alors que les suites complexes impossible à se rappeler sont fortement suggérées.
Quand ton portable te propose un mot de passe super sécurisé du genre :
« evdjx-endox-3enfkc-bekx7-znxk8 »
Objectivement il faut être natif de quelle galaxie pour être capable de le mémoriser sans difficulté ?
Quand on rajoute, que d’après une étude de 2018, un utilisateur lambda gérait en moyenne 184 mots de passe et qu’il est fortement conseillé qu’ils soient tous différents on dépasse de très loin les limites du système par MDP.
1 « J'aime »
Pour rebondir sur le TouchID, en cas de corruption (c’est une empreinte), on peut révoquer mais on ne peut pas renouveler. C’est le problème de base de l’authentification biométrique.
Tu veux dire par là que si l’empreinte est abimée avec une cicatrice, une blessure récente, cela ne marche plus ?
C’est la question que je me suis toujours posée.
« On ne peut pas renouveler » : cela veut dire que la première empreinte ne peut pas être remplacée par une autre d’un autre doigt ?
Si c’est le cas, il faut faire attention quand on fait la cuisine.
Je voulais dire « compromission ». CàD que si tu te fais piquer tes empreintes, tu peux toujours dire aux systèmes d’authentification que tes empreintes ne sont plus sûres … mais tu ne pourras pas enregistrer de nouvelles empreintes.
1 « J'aime »