twobee - Fotolia

Quand Microsoft supprime le mot de passe

Via son application d’authentification multi-facteurs mobile, l’éditeur propose d’ouvrir une session sur ses services sans utiliser son mot de passe.

Se passer de mot de passe pour s’authentifier en ligne ? C’est l’idée que Microsoft commence à mettre en pratique pour l’accès à ses services en s’appuyant sur son application mobile d’authentification à facteurs multiples.

A l’instar de celle de Google ou d’Authy, cette application permet d’utiliser des codes à usage unique et à durée de vie limitée pour renforcer l’authentification en ligne, au-delà des seuls nom d’utilisateur et mot de passe. L’enrôlement se fait par code QR.

Pour les comptes Microsoft personnels, l’éditeur a toutefois décidé de simplifier la procédure d’authentification avec cette application : dans les formulaires Web, il n’est plus nécessaire de saisir son mot de passe : l’application notifie l’utilisateur d’une tentative d’ouverture de session en ligne, qu’il suffit d’approuver en fournissant son code personnel de verrouillage de l’application ou simplement en validant son identité par biométrie, avec TouchID sur iPhone, par exemple.

Dans un billet de blog, Alex Simons, directeur associé de la gestion de programmes au sein de la division identités de Microsoft, explique revendique un processus « plus simple que la vérification en deux étapes standard et significativement plus sûr que le seul mot de passe, qui peut être oublié, dérobé ou compromis ».

Quant à savoir s’il s’agit véritablement d’authentification à double facteur, il assure le penser : « le terminal mobile est le premier facteur (quelque chose que vous avez). Le code PIN ou l’empreinte digitale créé sur le terminal est un second facteur (quelque chose que vous savez ou êtes). Et chaque ouverture de session nécessite les deux ». 

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)

Close