Pourquoi un code confidentiel est-il préférable à un mot de passe?Why a PIN is better than a password

S’applique àApplies to

  • Windows10Windows10

Windows Hello dans Windows 10 permet aux utilisateurs de se connecter à leur appareil à l’aide d’un code confidentiel.Windows Hello in Windows10 enables users to sign in to their device using a PIN. En quoi un code confidentiel est-il différent d’un mot de passe (et est-il préférable à celui-ci)?How is a PIN different from (and better than) a password? À première vue, un code confidentiel ressemble beaucoup à un mot de passe.On the surface, a PIN looks much like a password. Un code confidentiel peut être un ensemble de chiffres, mais la stratégie d’entreprise peut autoriser des codes confidentiels complexes qui incluent des caractères spéciaux et des lettres, aussi bien majuscules que minuscules.A PIN can be a set of numbers, but enterprise policy might allow complex PINs that include special characters and letters, both upper-case and lower-case. Quelque chose comme t758A!Something like t758A! pourrait être un mot de passe de compte ou un code confidentiel Hello complexe.could be an account password or a complex Hello PIN. Ce n’est pas la structure d’un code confidentiel (longueur, complexité) qui le rend préférable à un mot de passe, c’est son fonctionnement.It isn't the structure of a PIN (length, complexity) that makes it better than a password, it's how it works.

Regardez Marie Huang expliquer pourquoi un code confidentiel Windows Hello entreprise est plus sécurisé qu’un mot de passe.Watch Dana Huang explain why a Windows Hello for Business PIN is more secure than a password.

Le code confidentiel est lié à l’appareilPIN is tied to the device

Une différence importante entre un mot de passe et un code confidentiel Hello est que le code confidentiel est lié à l’appareil spécifique sur lequel il a été configuré.One important difference between a password and a Hello PIN is that the PIN is tied to the specific device on which it was set up. Ce code confidentiel est parfaitement inutile sans ce matériel spécifique.That PIN is useless to anyone without that specific hardware. Une personne qui vole votre mot de passe peut se connecter à votre compte de n’importe où, mais si elle vole votre code confidentiel, il lui faudra aussi voler votre appareil physique!Someone who steals your password can sign in to your account from anywhere, but if they steal your PIN, they'd have to steal your physical device too!

Même vous, vous ne pouvez pas utiliser ce code confidentiel ailleurs que sur cet appareil spécifique.Even you can't use that PIN anywhere except on that specific device. Si vous voulez vous connecter sur plusieurs appareils, vous devez configurer Hello sur chaque appareil.If you want to sign in on multiple devices, you have to set up Hello on each device.

Le code confidentiel est local à l’appareilPIN is local to the device

Un mot de passe est transmis au serveur: il peut être intercepté lors de la transmission ou volé sur le serveur.A password is transmitted to the server -- it can be intercepted in transmission or stolen from a server. Un code confidentiel est local à l’appareil: il n’est transmis nulle part et n’est pas stocké sur le serveur.A PIN is local to the device -- it isn't transmitted anywhere and it isn't stored on the server. Quand le code confidentiel est créé, il établit une relation de confiance avec le fournisseur d’identité et crée une paire de clés asymétriques utilisée pour l’authentification.When the PIN is created, it establishes a trusted relationship with the identity provider and creates an asymmetric key pair that is used for authentication. Lorsque vous entrez votre code confidentiel, celui-ci déverrouille la clé d’authentification et l’utilise pour signer la demande qui est envoyée au serveur d’authentification.When you enter your PIN, it unlocks the authentication key and uses the key to sign the request that is sent to the authenticating server.

Notes

Pour plus d’informations sur la manière dont Hello utilise des paires de clés asymétriques pour l’authentification, voir WindowsHelloEntreprise.For details on how Hello uses asymetric key pairs for authentication, see Windows Hello for Business.  

Le code confidentiel PIN est renforcé par le matérielPIN is backed by hardware

Le code confidentiel Hello est renforcé par une puce de module de plateforme sécurisée (TPM), qui est un processeur de chiffrement sécurisé conçu pour effectuer des opérations de chiffrement.The Hello PIN is backed by a Trusted Platform Module (TPM) chip, which is a secure crypto-processor that is designed to carry out cryptographic operations. La puce comprend plusieurs mécanismes de sécurité physique qui la protègent contre la falsification, et les logiciels malveillants ne peuvent pas falsifier les fonctions de sécurité du TPM.The chip includes multiple physical security mechanisms to make it tamper resistant, and malicious software is unable to tamper with the security functions of the TPM. Tous les téléphones mobiles Windows 10 et de nombreux ordinateurs portables modernes disposent d’un module de plateforme sécurisée.All Windows10 Mobile phones and many modern laptops have TPM.

Le matériel clé de l’utilisateur est généré et disponible dans le TPM de l’appareil de l’utilisateur, qui le protège contre les personnes malveillantes qui souhaitent s’emparer de ce matériel et le réutiliser.User key material is generated and available within the Trusted Platform Module (TPM) of the user device, which protects it from attackers who want to capture the key material and reuse it. Comme Hello utilise des paires de clés asymétriques, les informations d’identification des utilisateurs ne peuvent pas être volées dans les cas où un fournisseur d’identité ou un site Web auquel l’utilisateur accède a été compromis.Because Hello uses asymmetric key pairs, users credentials can't be stolen in cases where the identity provider or websites the user accesses have been compromised.

Le TPM offre une protection contre diverses attaques connues et potentielles, notamment les attaques par force brute du code confidentiel.The TPM protects against a variety of known and potential attacks, including PIN brute-force attacks. Après un trop grand nombre de tentatives infructueuses, l’appareil est verrouillé.After too many incorrect guesses, the device is locked.

Le code confidentiel peut être complexePIN can be complex

Le code confidentiel WindowsHelloEntreprise est soumis au même ensemble de stratégies de gestion informatique qu’un mot de passe: complexité, longueur, expiration, historique, etc.The Windows Hello for Business PIN is subject to the same set of IT management policies as a password, such as complexity, length, expiration, and history. Bien que le code confidentiel évoque généralement un simple code à 4chiffres, les administrateurs peuvent définir des stratégies afin que les appareils gérés nécessitent une complexité de code confidentiel similaire à celle d’un mot de passe.Although we generally think of a PIN as a simple four-digit code, administrators can set policies for managed devices to require a PIN complexity similar to a password. Vous pouvez imposer ou interdire les caractères spéciaux, les majuscules, les minuscules et les chiffres.You can require or block: special characters, uppercase characters, lowercase characters, and digits.

Que se passe-t-il si quelqu’un vole l’ordinateur portable ou le téléphone?What if someone steals the laptop or phone?

Pour compromettre une information d’identification Windows Hello protégée par le TPM, un attaquant doit avoir accès à l’appareil physique, puis doit trouver un moyen d’usurper la biométrie de l’utilisateur ou de deviner son code confidentiel, et tout cela doit être fait avant que la protection contre le module de plateforme sécurisée verrouille l’appareil.To compromise a Windows Hello credential that TPM protects, an attacker must have access to the physical device, and then must find a way to spoof the user's biometrics or guess his or her PIN—and all of this must be done before TPM anti-hammering protection locks the device. Vous pouvez fournir une protection supplémentaire pour les ordinateurs portables qui ne sont pas dotés d’un TPM en activant BitLocker et en définissant une stratégie pour limiter les échecs de connexion.You can provide additional protection for laptops that don't have TPM by enabling BitLocker and setting a policy to limit failed sign-ins.

Configurer BitLocker sans TPMConfigure BitLocker without TPM

  1. Utilisez l’Éditeur d’objets de stratégie de groupe (gpedit.msc) pour activer la stratégie suivante:Use the Local Group Policy Editor (gpedit.msc) to enable the following policy:

    Configuration ordinateur > Modèles d’administration > Composants Windows > Chiffrement de lecteur BitLocker > Lecteurs du système d’exploitation > Demander une authentification supplémentaire au démarrageComputer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives > Require additional authentication at startup

  2. Dans l’option de stratégie, sélectionnez Autoriser BitLocker sans un module de plateforme sécurisée compatible, puis cliquez sur OK.In the policy option, select Allow BitLocker without a compatible TPM, and then click OK.

  3. Accédez à Panneau de configuration> Système et sécurité> Chiffrement de lecteur BitLocker, puis sélectionnez le lecteur de système d’exploitation à protéger.Go to Control Panel > System and Security > BitLocker Drive Encryption and select the operating system drive to protect. Définir le seuil de verrouillage du compteSet account lockout threshold

  4. Utilisez l’Éditeur d’objets de stratégie de groupe (gpedit.msc) pour activer la stratégie suivante:Use the Local Group Policy Editor (gpedit.msc) to enable the following policy:

    Configuration ordinateur > Paramètres Windows> Paramètres de sécurité > Stratégies de comptes > Stratégie de verrouillage du compte > Seuil de verrouillage du compteComputer Configuration > Windows Settings > Security Settings > Account Policies > Account Lockout Policy > Account lockout threshold

  5. Définissez le nombre de tentatives d’ouverture de session non valides à autoriser, puis cliquez sur OK.Set the number of invalid logon attempts to allow, and then click OK.

Pourquoi un code confidentiel est-il nécessaire pour utiliser la biométrie?Why do you need a PIN to use biometrics?

Windows Hello active la connexion biométrique pour Windows 10: empreinte digitale, IRIS ou visage.Windows Hello enables biometric sign-in for Windows10: fingerprint, iris, or facial recognition. Lorsque vous configurez Windows Hello, vous êtes invité à créer d’abord un code confidentiel.When you set up Windows Hello, you're asked to create a PIN first. Ce code confidentiel vous permet de vous connecter à l’aide du code confidentiel lorsque vous ne pouvez pas utiliser votre biométrique par défaut en raison d’un dommage ou parce que le capteur est indisponible ou ne fonctionne pas correctement.This PIN enables you to sign in using the PIN when you can't use your preferred biometric because of an injury or because the sensor is unavailable or not working properly.

Si vous n’avez configuré qu’une méthode de connexion biométrique et n’êtes pas en mesure de l’utiliser pour quelque raison que ce soit, vous devez vous connecter à l’aide de votre compte et de votre mot de passe, qui n’offrent pas le même niveau de protection que Hello.If you only had a biometric sign-in configured and, for any reason, were unable to use that method to sign in, you would have to sign in using your account and password, which doesn't provide you the same level of protection as Hello.

Rubriques connexesRelated topics