Pourquoi un code confidentiel est-il préférable à un mot de passe?

S’applique à

  • Windows 10
  • Windows 11

WindowsHello dans Windows10 permet aux utilisateurs de se connecter à leur appareil à l’aide d’un code confidentiel. En quoi un code confidentiel est-il différent d’un mot de passe (et est-il préférable à celui-ci)? À première vue, un code confidentiel ressemble beaucoup à un mot de passe. Un code confidentiel peut être un ensemble de chiffres, mais la stratégie d’entreprise peut autoriser des codes confidentiels complexes qui incluent des caractères spéciaux et des lettres, aussi bien majuscules que minuscules. Quelque chose comme t758A! pourrait être un mot de passe de compte ou un code confidentiel Hello complexe. Ce n’est pas la structure d’un code confidentiel (longueur, complexité) qui le rend préférable à un mot de passe, c’est son fonctionnement.

Regardez Dana Domaine expliquer pourquoi un code confidentiel Windows Hello entreprise est plus sécurisé qu’un mot de passe.

Le code confidentiel est lié à l’appareil

Une différence importante entre un mot de passe et un code confidentiel Hello est que le code confidentiel est lié à l’appareil spécifique sur lequel il a été configuré. Ce code confidentiel est parfaitement inutile sans ce matériel spécifique. Une personne qui vole votre mot de passe peut se connecter à votre compte de n’importe où, mais si elle vole votre code confidentiel, il lui faudra aussi voler votre appareil physique!

Même vous, vous ne pouvez pas utiliser ce code confidentiel ailleurs que sur cet appareil spécifique. Si vous voulez vous connecter sur plusieurs appareils, vous devez configurer Hello sur chaque appareil.

Le code confidentiel est local à l’appareil

Un mot de passe est transmis au serveur: il peut être intercepté lors de la transmission ou volé sur le serveur. Un code confidentiel est local à l’appareil: il n’est transmis nulle part et n’est pas stocké sur le serveur. Quand le code confidentiel est créé, il établit une relation de confiance avec le fournisseur d’identité et crée une paire de clés asymétriques utilisée pour l’authentification. Lorsque vous entrez votre code confidentiel, celui-ci déverrouille la clé d’authentification et l’utilise pour signer la demande qui est envoyée au serveur d’authentification.

Notes

Pour plus d’informations sur la manière dont Hello utilise des paires de clés asymétriques pour l’authentification, voir WindowsHelloEntreprise.

Le code confidentiel PIN est renforcé par le matériel

Le code confidentiel Hello est renforcé par une puce de module de plateforme sécurisée (TPM), qui est un processeur de chiffrement sécurisé conçu pour effectuer des opérations de chiffrement. La puce comprend plusieurs mécanismes de sécurité physique qui la protègent contre la falsification, et les logiciels malveillants ne peuvent pas falsifier les fonctions de sécurité du TPM. Tous les téléphones Windows 10 Mobile et de nombreux ordinateurs portables actuels sont dotés d’un TPM.

Le matériel clé de l’utilisateur est généré et disponible dans le TPM de l’appareil de l’utilisateur, qui le protège contre les personnes malveillantes qui souhaitent s’emparer de ce matériel et le réutiliser. Étant donné que Hello utilise des paires de clés asymétriques, les informations d’identification des utilisateurs ne peuvent pas être volées dans les cas où le fournisseur d’identité ou les sites web accessibles par l’utilisateur ont été compromis.

Le TPM offre une protection contre diverses attaques connues et potentielles, notamment les attaques par force brute du code confidentiel. Après un trop grand nombre de tentatives infructueuses, l’appareil est verrouillé.

Le code confidentiel peut être complexe

Le code confidentiel WindowsHelloEntreprise est soumis au même ensemble de stratégies de gestion informatique qu’un mot de passe: complexité, longueur, expiration, historique, etc. Bien que le code confidentiel évoque généralement un simple code à 4chiffres, les administrateurs peuvent définir des stratégies afin que les appareils gérés nécessitent une complexité de code confidentiel similaire à celle d’un mot de passe. Vous pouvez imposer ou interdire les caractères spéciaux, les majuscules, les minuscules et les chiffres.

Que se passe-t-il si quelqu’un vole l’ordinateur portable ou le téléphone?

Pour compromettre les informations d’identification Windows Hello protégées par le TPM, une personne malveillante doit avoir accès à l’appareil physique, puis trouver un moyen d’usurper la biométrie de l’utilisateur ou de deviner son code confidentiel. Tout cela doit être effectué avant que la protection anti-marteau du TPM verrouille l’appareil. Vous pouvez fournir une protection supplémentaire pour les ordinateurs portables qui ne sont pas dotés d’un TPM en activant BitLocker et en définissant une stratégie pour limiter les échecs de connexion.

Configurer BitLocker sans TPM

  1. Utilisez l’Éditeur d’objets de stratégie de groupe (gpedit.msc) pour activer la stratégie suivante:

    Configuration ordinateur > Modèles d’administration > Composants Windows > Chiffrement de lecteur BitLocker > Lecteurs du système d’exploitation > Demander une authentification supplémentaire au démarrage

  2. Dans l’option de stratégie, sélectionnez Autoriser BitLocker sans un module de plateforme sécurisée compatible, puis cliquez sur OK.

  3. Accédez à Panneau de configuration> Système et sécurité> Chiffrement de lecteur BitLocker, puis sélectionnez le lecteur de système d’exploitation à protéger. Définir le seuil de verrouillage du compte

  4. Utilisez l’Éditeur d’objets de stratégie de groupe (gpedit.msc) pour activer la stratégie suivante:

    Configuration ordinateur > Paramètres Windows> Paramètres de sécurité > Stratégies de comptes > Stratégie de verrouillage du compte > Seuil de verrouillage du compte

  5. Définissez le nombre de tentatives d’ouverture de session non valides à autoriser, puis cliquez sur OK.

Pourquoi un code confidentiel est-il nécessaire pour utiliser la biométrie?

WindowsHello active la fonction de connexion biométrique de Windows10: reconnaissance des empreintes digitales, de l’iris ou du visage. Lorsque vous configurez Windows Hello, vous êtes invité à créer d’abord un code confidentiel. Ce code confidentiel vous permet de vous connectez à l’aide du code confidentiel lorsque vous ne pouvez pas utiliser la biométrie de votre choix en raison d’une faute de tête ou parce que le capteur n’est pas disponible ou ne fonctionne pas correctement.

Si vous n’avez configuré qu’une méthode de connexion biométrique et n’êtes pas en mesure de l’utiliser pour quelque raison que ce soit, vous devez vous connecter à l’aide de votre compte et de votre mot de passe, qui n’offrent pas le même niveau de protection que Hello.