Gérer la vérification d’identité à l’aide de Microsoft Passport

Article
04/01/2016

Dans Windows 10, Microsoft Passport remplace les mots de passe par l’authentification forte à 2 facteurs sur les PC et appareils mobiles. Cette authentification se compose d’un nouveau type d’informations d’identification utilisateur qui est lié à un appareil et à un identificateur biométrique Windows Hello ou à un code PIN.

Passport résout les problèmes suivants liés aux mots de passe :

Les mots de passe peuvent être difficilement mémorisables, et les utilisateurs les réutilisent souvent sur plusieurs sites.
Les violations de serveur peuvent exposer les informations d’identification de réseau symétrique.
Les mots de passe peuvent être soumis à des attaques par relecture.
Les utilisateurs peuvent exposer par inadvertance leur mot de passe en raison des attaques par hameçonnage.

Passport permet aux utilisateurs de s’authentifier auprès des éléments suivants :

Un compte Microsoft
Un compte Active Directory
Un compte Microsoft Azure AD (Active Directory)
Des services de fournisseur d’identité ou des services de partie de confiance qui prennent en charge l’authentification FIDO (Fast ID Online) v2.0

Après une vérification initiale en deux étapes de l’utilisateur lors de l’inscription, Passport est configuré sur l’appareil de l’utilisateur et ce dernier doit définir un mouvement, qui peut être Windows Hello ou un code PIN. L’utilisateur fournit le mouvement pour vérifier son identité. Windows utilise ensuite Passport pour authentifier les utilisateurs et les aider à accéder aux ressources et aux services protégés.

En tant qu’administrateur dans une entreprise ou un établissement d’enseignement, vous pouvez créer des stratégies pour gérer l’utilisation de Passport sur les appareils Windows 10 qui se connectent à votre organisation.

Avantages de Microsoft Passport

Les rapports d’usurpation d’identité et de piratage à grande échelle font souvent les gros titres. Personne ne souhaite être informé de l’exposition de son nom d’utilisateur et de son mot de passe.

Vous pouvez vous demander de quelle manière un code PIN peut aider à protéger un appareil mieux qu’un mot de passe. Les mots de passe sont des secrets partagés ; ils sont entrés sur un appareil et transmis au serveur via le réseau. Des noms de compte et des mots de passe interceptés peuvent être utilisés par tout le monde. Comme ils sont stockés sur le serveur, une violation du serveur peut révéler ces informations d’identification stockées.

Dans Windows 10, Passport remplace les mots de passe. Le processus de configuration de Passport crée deux clés de chiffrement liées au module de plateforme sécurisée (TPM), si un appareil en possède un, ou dans le logiciel. L’accès à ces clés et l’obtention d’une signature pour valider la possession de la clé privée par l’utilisateur sont permis uniquement par le code confidentiel ou le mouvement biométrique. La vérification en deux étapes qui a lieu lors de l’inscription à Passport crée une relation d’approbation entre le fournisseur d’identité et l’utilisateur lorsque la partie publique de la paire de clés publique/privée est envoyée à un fournisseur d’identité et associée à un compte d’utilisateur. Si un utilisateur entre le mouvement sur l’appareil, le fournisseur d’identité sait à partir de la combinaison de clés Passport et du mouvement qu’il s’agit d’une identité vérifiée, et fournit un jeton d’authentification qui permet à Windows 10 d’accéder aux ressources et services. Par ailleurs, pendant la procédure d’inscription, la déclaration d’attestation est générée pour chaque fournisseur d’identité afin de prouver par chiffrement que les clés Passport sont liées au module TPM. Lors de l’inscription, si la déclaration d’attestation n’est pas présentée au fournisseur d’identité, ce dernier doit supposer que la clé Passport est créée dans le logiciel.

Fonctionnement de l’authentification dans Microsoft Passport

Imaginez que quelqu’un regarde par dessus votre épaule lorsque vous retirez de l’argent à un distributeur automatique de billets, et voit le code confidentiel que vous entrez. Disposer de ce code PIN ne permettra pas à cette personne d’accéder à votre compte, car elle ne possède pas votre carte bancaire. De la même manière, s’il apprend le code confidentiel que vous utilisez pour votre appareil, cette personne malveillante ne pourra pas accéder à votre compte, car le code confidentiel est propre à votre appareil et ne permet aucun type d’authentification depuis les autres appareils.

Passport contribue à protéger l’identité de l’utilisateur et ses informations d’identification. Comme aucun mot de passe n’est utilisé, cela permet de contourner les attaques par hameçonnage et en force brute. Cela permet également d’empêcher les violations de serveur, car les informations d’identification Passport sont une paire de clés asymétriques, ce qui empêche les attaques par relecture lorsque ces clés sont générées dans des environnements isolés de modules TPM.

Microsoft Passport permet également aux appareils Windows 10 Mobile d’être utilisés en tant qu’informations d’identification à distance lors de la connexion à des PC Windows 10. Pendant le processus de connexion, le PC Windows 10 peut se connecter à l’aide du Bluetooth pour accéder à Microsoft Passport sur l’appareil Windows 10 Mobile de l’utilisateur. Dans la mesure où les utilisateurs ont leur téléphone avec eux, Microsoft Passport permet la mise en œuvre d’une authentification à deux facteurs au sein de l’entreprise moins coûteuse et plus simple que les autres solutions.

Remarque La connexion par téléphone est actuellement disponible pour un nombre limité de participants au programme TAP (Technology Adoption Program).

Fonctionnement de Microsoft Passport : points clés

Les informations d’identification Passport sont basées sur un certificat ou une paire de clés asymétriques. Les informations d’identification Passport sont liées à l’appareil, et le jeton qui est obtenu par leur biais est également lié à l’appareil.
Le fournisseur d’identité (par exemple, compte Active Directory/Azure AD/Microsoft) valide l’identité de l’utilisateur et mappe la clé publique de Microsoft Passport à un compte d’utilisateur lors de l’étape d’inscription.
Des clés peuvent être générées dans le matériel (TPM 1.2 ou 2.0 pour les entreprises, et TPM 2.0 pour les consommateurs) ou dans le logiciel, en fonction de la stratégie.
L’authentification à 2 facteurs combine une clé ou un certificat liés à un appareil et un élément connu de l’utilisateur (code confidentiel) ou propre à lui (Windows Hello). Le mouvement Passport n’utilise pas de profil itinérant entre les appareils et n’est pas partagé avec le serveur. Il est stocké localement sur un appareil.
La clé privée ne quitte jamais un appareil. Le serveur d’authentification dispose d’une clé publique mappée au compte d’utilisateur lors de la procédure d’inscription.
La saisie du code confidentiel et Hello déclenchent la vérification par Windows 10 de l’identité de l’utilisateur et l’authentification à l’aide des clés ou des certificats Passport.
Les comptes personnels (compte Microsoft) et d’entreprise (Active Directory ou Azure AD) utilisent des conteneurs distincts pour les clés. Les fournisseurs d’identité autres que Microsoft peuvent générer des clés pour leurs utilisateurs dans le même conteneur que le compte Microsoft. Toutefois, toutes les clés sont séparées par des domaines de fournisseurs d’identité pour s’assurer de la confidentialité des utilisateurs.
Les certificats sont ajoutés au conteneur Passport et protégés par le mouvement Passport.
Comportement de Windows Update : après le redémarrage demandé par Windows Update, le dernier utilisateur interactif est automatiquement connecté sans mouvement. La session est verrouillée pour que les applications de l’écran de verrouillage de l’utilisateur puissent s’exécuter.

Comparaison des authentifications basées sur les clés et les certificats

Passport peut utiliser des clés (matérielles ou logicielles) ou des certificats avec des clés dans le matériel ou les logiciels pour confirmer l’identité. Les entreprises qui disposent d’une infrastructure à clé publique (PKI) pour l’émission et la gestion des certificats peuvent continuer à utiliser PKI en combinaison avec Passport. Les entreprises dépourvues d’infrastructure PKI ou qui souhaitent réduire l’effort associé à la gestion des certificats peuvent utiliser les informations d’identification basées sur les clés pour Passport.

Les clés basées sur le matériel, qui sont générées par le module TPM fournissent le niveau d’assurance le plus élevé. Lorsque le module TPM est fabriqué, un certificat de paire de clés de type EK (Endorsement Key) réside dans le module TPM. Ce certificat EK crée une approbation racine pour toutes les autres clés générées dans ce module TPM.

La certification EK permet de générer un certificat de clé d’attestation d’identité (AIK) qui est délivré par une autorité de certification Microsoft. Ce certificat AIK peut servir de déclaration d’attestation pour prouver aux fournisseurs d’identité que les clés Passport sont générées dans le même module TPM. L’autorité de certification Microsoft génère le certificat AIK par appareil, par utilisateur, et par IDP pour s’assurer de la protection de la confidentialité utilisateur.

Lorsque des fournisseurs d’identité comme Active Directory ou Azure AD inscrivent un certificat dans Passport, Windows 10 prend en charge le même ensemble de scénarios qu’une carte à puce. Si le type d’informations d’identification est une clé, seules les opérations et l’approbation basées sur la clé sont prises en charge.