Pourquoi un code confidentiel est-il préférable à un mot de passe?

S’applique à

  • Windows10

Windows Hello dans Windows 10 permet aux utilisateurs de se connecter à leur appareil à l’aide d’un code confidentiel. En quoi un code confidentiel est-il différent d’un mot de passe (et est-il préférable à celui-ci)? À première vue, un code confidentiel ressemble beaucoup à un mot de passe. Un code confidentiel peut être un ensemble de chiffres, mais la stratégie d’entreprise peut autoriser des codes confidentiels complexes qui incluent des caractères spéciaux et des lettres, aussi bien majuscules que minuscules. Quelque chose comme t758A! pourrait être un mot de passe de compte ou un code confidentiel Hello complexe. Ce n’est pas la structure d’un code confidentiel (longueur, complexité) qui le rend préférable à un mot de passe, c’est son fonctionnement.

Le code confidentiel est lié à l’appareil

Une différence importante entre un mot de passe et un code confidentiel Hello est que le code confidentiel est lié à l’appareil spécifique sur lequel il a été configuré. Ce code confidentiel est parfaitement inutile sans ce matériel spécifique. Une personne qui vole votre mot de passe peut se connecter à votre compte de n’importe où, mais si elle vole votre code confidentiel, il lui faudra aussi voler votre appareil physique!

Même vous, vous ne pouvez pas utiliser ce code confidentiel ailleurs que sur cet appareil spécifique. Si vous voulez vous connecter sur plusieurs appareils, vous devez configurer Hello sur chaque appareil.

Le code confidentiel est local à l’appareil

Un mot de passe est transmis au serveur: il peut être intercepté lors de la transmission ou volé sur le serveur. Un code confidentiel est local à l’appareil: il n’est transmis nulle part et n’est pas stocké sur le serveur. Quand le code confidentiel est créé, il établit une relation de confiance avec le fournisseur d’identité et crée une paire de clés asymétriques utilisée pour l’authentification. Lorsque vous entrez votre code confidentiel, celui-ci déverrouille la clé d’authentification et l’utilise pour signer la demande qui est envoyée au serveur d’authentification.

Notes

Pour plus d’informations sur la manière dont Hello utilise des paires de clés asymétriques pour l’authentification, voir WindowsHelloEntreprise.

Le code confidentiel PIN est renforcé par le matériel

Le code confidentiel Hello est renforcé par une puce de module de plateforme sécurisée (TPM), qui est un processeur de chiffrement sécurisé conçu pour effectuer des opérations de chiffrement. La puce comprend plusieurs mécanismes de sécurité physique qui la protègent contre la falsification, et les logiciels malveillants ne peuvent pas falsifier les fonctions de sécurité du TPM. Tous les téléphones mobiles Windows 10 et de nombreux ordinateurs portables modernes disposent d’un module de plateforme sécurisée.

Le matériel clé de l’utilisateur est généré et disponible dans le TPM de l’appareil de l’utilisateur, qui le protège contre les personnes malveillantes qui souhaitent s’emparer de ce matériel et le réutiliser. Comme Hello utilise des paires de clés asymétriques, les informations d’identification des utilisateurs ne peuvent pas être volées dans les cas où un fournisseur d’identité ou un site Web auquel l’utilisateur accède a été compromis.

Le TPM offre une protection contre diverses attaques connues et potentielles, notamment les attaques par force brute du code confidentiel. Après un trop grand nombre de tentatives infructueuses, l’appareil est verrouillé.

Le code confidentiel peut être complexe

Le code confidentiel WindowsHelloEntreprise est soumis au même ensemble de stratégies de gestion informatique qu’un mot de passe: complexité, longueur, expiration, historique, etc. Bien que le code confidentiel évoque généralement un simple code à 4chiffres, les administrateurs peuvent définir des stratégies afin que les appareils gérés nécessitent une complexité de code confidentiel similaire à celle d’un mot de passe. Vous pouvez imposer ou interdire les caractères spéciaux, les majuscules, les minuscules et les chiffres.

Que se passe-t-il si quelqu’un vole l’ordinateur portable ou le téléphone?

Pour compromettre des informations d’identification WindowsHello protégées par le module de plate-forme sécurisée, une personne malveillante doit avoir accès à l’appareil physique, puis trouver un moyen de tromper le dispositif biométrique ou de deviner le code confidentiel de l’utilisateur. Tout ceci doit être fait avant que les fonctionnalités anti-marteau du Module de plate-forme sécurisée verrouillent l’appareil. Vous pouvez fournir une protection supplémentaire pour les ordinateurs portables qui ne sont pas dotés d’un TPM en activant BitLocker et en définissant une stratégie pour limiter les échecs de connexion.

Configurer BitLocker sans TPM

  1. Utilisez l’Éditeur d’objets de stratégie de groupe (gpedit.msc) pour activer la stratégie suivante:

    Configuration ordinateur > Modèles d’administration > Composants Windows > Chiffrement de lecteur BitLocker > Lecteurs du système d’exploitation > Demander une authentification supplémentaire au démarrage

  2. Dans l’option de stratégie, sélectionnez Autoriser BitLocker sans un module de plateforme sécurisée compatible, puis cliquez sur OK.

  3. Accédez à Panneau de configuration> Système et sécurité> Chiffrement de lecteur BitLocker, puis sélectionnez le lecteur de système d’exploitation à protéger. Définir le seuil de verrouillage du compte
  4. Utilisez l’Éditeur d’objets de stratégie de groupe (gpedit.msc) pour activer la stratégie suivante:

    Configuration ordinateur > Paramètres Windows> Paramètres de sécurité > Stratégies de comptes > Stratégie de verrouillage du compte > Seuil de verrouillage du compte

  5. Définissez le nombre de tentatives d’ouverture de session non valides à autoriser, puis cliquez sur OK.

Pourquoi un code confidentiel est-il nécessaire pour utiliser la biométrie?

Windows Hello active la connexion biométrique pour Windows 10: empreinte digitale, IRIS ou visage. Lorsque vous configurez Windows Hello, vous êtes invité à créer d’abord un code confidentiel. Ce code confidentiel vous permet de vous connecter à l’aide du code confidentiel quand vous ne pouvez pas utiliser votre méthode de connexion biométrique préférée en raison d’une blessure ou si le capteur est indisponible ou ne fonctionne pas correctement.

Si vous n’avez configuré qu’une méthode de connexion biométrique et n’êtes pas en mesure de l’utiliser pour quelque raison que ce soit, vous devez vous connecter à l’aide de votre compte et de votre mot de passe, qui n’offrent pas le même niveau de protection que Hello.

Rubriques connexes