Pourquoi un code confidentiel est préférable à un mot de passe ?

  • Article

Microsoft Passport dans Windows 10 permet aux utilisateurs de se connecter à leur appareil à l’aide d’un code confidentiel. En quoi un code confidentiel est-il différent d’un mot de passe (et est-il préférable à celui-ci) ?

À première vue, un code confidentiel ressemble beaucoup à un mot de passe. Un code confidentiel peut être un ensemble de chiffres, mais la stratégie d’entreprise peut autoriser des codes confidentiels complexes qui incluent des caractères spéciaux et des lettres, aussi bien majuscules que minuscules. Quelque chose comme t758A! pourrait être un mot de passe de compte ou un code confidentiel Passport complexe. Ce n’est pas la structure d’un code confidentiel (longueur, complexité) qui le rend préférable à un mot de passe, c’est son fonctionnement.

Le code confidentiel est lié à l’appareil

Une différence importante entre un mot de passe et un code confidentiel Passport est que le code confidentiel est lié à l’appareil spécifique sur lequel il a été configuré. Ce code confidentiel est parfaitement inutile sans ce matériel spécifique. Une personne qui vole votre mot de passe peut se connecter à votre compte de n’importe où, mais si elle vole votre code confidentiel, il lui faudra aussi voler votre appareil physique !

Même vous, vous ne pouvez pas utiliser ce code confidentiel ailleurs que sur cet appareil spécifique. Si vous voulez vous connecter sur plusieurs appareils, vous devez configurer Passport sur chaque appareil.

Le code confidentiel est local à l’appareil

Un mot de passe est transmis au serveur : il peut être intercepté lors de la transmission ou volé sur le serveur. Un code confidentiel est local à l’appareil : il n’est transmis nulle part et n’est pas stocké sur le serveur.

Quand le code confidentiel est créé, il établit une relation de confiance avec le fournisseur d’identité et crée une paire de clés asymétriques utilisée pour l’authentification. Lorsque vous entrez votre code confidentiel, celui-ci déverrouille la clé d’authentification et l’utilise pour signer la demande qui est envoyée au serveur d’authentification.

Remarque  

Pour plus d’informations sur la manière dont Passport utilise les paires de clés asymétriques pour l’authentification, consultez le Guide de Microsoft Passport.

 

Le code confidentiel PIN est renforcé par le matériel

Le code confidentiel Passport est renforcé par une puce de module de plateforme sécurisée (TPM), qui est un processeur de chiffrement sécurisé conçu pour effectuer des opérations de chiffrement. La puce comprend plusieurs mécanismes de sécurité physique qui la protègent contre la falsification, et les logiciels malveillants ne peuvent pas falsifier les fonctions de sécurité du TPM. Tous les téléphones Windows 10 Mobile et de nombreux ordinateurs portables actuels sont dotés d’un TPM.

Le matériel clé de l’utilisateur est généré et disponible dans le TPM de l’appareil de l’utilisateur, qui le protège contre les personnes malveillantes qui souhaitent s’emparer de ce matériel et le réutiliser. Comme Microsoft Passport utilise des paires de clés asymétriques, les informations d’identification de l’utilisateur ne peuvent pas être volées lorsque le fournisseur d’identité ou les sites web auxquels l’utilisateur accède ont été piratés.

Le TPM protège contre diverses attaques connues et potentielles, notamment les attaques de force brute du code confidentiel. Après un trop grand nombre de tentatives infructueuses, l’appareil est verrouillé.

Le code confidentiel peut être complexe

Le code confidentiel Passport est soumis au même ensemble de stratégies de gestion informatique qu’un mot de passe : complexité, longueur, expiration, historique, etc. Bien que le code confidentiel évoque généralement un simple code à 4 chiffres, les administrateurs peuvent définir des stratégies afin que les appareils gérés nécessitent une complexité de code confidentiel similaire à celle d’un mot de passe. Vous pouvez imposer ou interdire les caractères spéciaux, les majuscules, les minuscules et les chiffres.

Que se passe-t-il si quelqu’un vole l’ordinateur portable ou le téléphone ?

Pour compromettre des informations d’identification Microsoft Passport protégées par le TPM, une personne malveillante doit avoir accès à l’appareil physique, puis trouver un moyen de tromper le dispositif biométrique ou de deviner le code confidentiel de l’utilisateur. Le tout, avant que les fonctionnalités anti-marteau du TPM ne verrouillent l’appareil. Cela renforce considérablement la sécurité contre les attaques par hameçonnage de mot de passe.

Vous pouvez fournir une protection supplémentaire pour les ordinateurs portables qui ne sont pas dotés d’un TPM en activant BitLocker et en définissant une stratégie pour limiter les échecs de connexion.

Mt621546.wedge(fr-fr,VS.85).gifConfigurer BitLocker sans TPM

  1. Utilisez l’Éditeur d’objets de stratégie de groupe (gpedit.msc) pour activer la stratégie suivante :

    Configuration ordinateur > Modèles d’administration > Composants Windows > Chiffrement de lecteur BitLocker > Lecteurs du système d’exploitation > Demander une authentification supplémentaire au démarrage

  2. Dans l’option de stratégie, sélectionnez Autoriser BitLocker sans un module de plateforme sécurisée compatible, puis cliquez sur OK.

  3. Accédez à Panneau de configuration > Système et sécurité > Chiffrement de lecteur BitLocker, puis sélectionnez le lecteur de système d’exploitation à protéger.

Mt621546.wedge(fr-fr,VS.85).gifDéfinir le seuil de verrouillage du compte

  1. Utilisez l’Éditeur d’objets de stratégie de groupe (gpedit.msc) pour activer la stratégie suivante :

    Configuration ordinateur >Paramètres Windows > Paramètres de sécurité >Stratégies de comptes > Stratégie de verrouillage du compte > Seuil de verrouillage du compte

  2. Définissez le nombre de tentatives d’ouverture de session non valides à autoriser, puis cliquez sur OK.

Pourquoi un code confidentiel est-il nécessaire pour utiliser Windows Hello ?

Windows Hello est la fonction de connexion biométrique de Microsoft Passport dans Windows 10 ; elle fait appel à la reconnaissance des empreintes digitales, de l’iris ou du visage. Lorsque vous configurez Windows Hello, vous êtes invité à créer d’abord un code confidentiel. Ce code confidentiel vous permet de vous connecter à l’aide de Passport quand vous ne pouvez pas utiliser votre méthode de connexion biométrique préférée en raison d’une blessure ou si le capteur est indisponible ou ne fonctionne pas correctement.

Si vous n’avez configuré qu’une méthode de connexion biométrique et n’êtes pas en mesure de l’utiliser pour quelque raison que ce soit, vous devez vous connecter à l’aide du nom et du mot de passe de votre compte, qui n’offrent pas le même niveau de protection que Passport.

Rubriques associées

Gérer la vérification d’identité à l’aide de Microsoft Passport

Implémenter Microsoft Passport dans votre organisation