Microsoft fait un pas de plus vers l’authentification sans mot de passe, également appelée passwordless. Désormais, tous les nouveaux comptes Microsoft créés seront configurés par défaut pour utiliser les passkeys.
Un compte Microsoft sans mot de passe dès l’inscription
Un an après avoir introduit le support des passkeys pour les comptes personnels, Microsoft passe à la vitesse supérieure : les mots de passe sont officiellement écartés pour les nouveaux utilisateurs, de quoi ouvrir la voie à un monde numérique sans mot de passe.
“Les nouveaux comptes Microsoft seront désormais “sans mot de passe par défaut”. Les nouveaux utilisateurs disposeront de plusieurs options sans mot de passe pour se connecter à leur compte et ils n’auront jamais besoin d’enregistrer un mot de passe.”, ce sont les propos de Joy Chik et Vasu Jakkal, de chez Microsoft. Il est donc possible de créer un compte Microsoft sans jamais avoir à définir un mot de passe !
L’interface d’inscription et de connexion a également été revue pour s’adapter à cette nouvelle volonté de l’entreprise américaine. Microsoft souhaite prioriser l’utilisation du passwordless à la place du mot de passe, lorsque le compte de l’utilisateur a été configuré avec plusieurs méthodes d’authentification.
“Par exemple, si vous avez configuré un mot de passe et un “code unique” sur votre compte, nous vous demanderons de vous connecter avec votre code unique au lieu de votre mot de passe.”, peut-on lire.
Précision importante : cette nouvelle expérience n’impacte pas les utilisateurs de comptes Microsoft Entra, c’est-à-dire les comptes professionnels ou scolaires. Mais, il n’est pas à exclure que ce soit le cas par la suite. Microsoft ne ferme pas la porte.
Les passkeys sont très appréciées par les utilisateurs
À l’instar d’Apple, Google ou encore Amazon, Microsoft promeut l’adoption des passkeys, une méthode d’authentification moderne soutenue par la FIDO Alliance.
Pour rappel, cette méthode repose sur la cryptographie asymétrique : lors de l’inscription à un service, l’appareil de l’utilisateur génère une paire de clés. La clé privée reste sur son appareil, tandis que la clé publique est transmise au service distant. Lors de la connexion au compte de l’utilisateur, c’est l’appareil qui authentifie l’utilisateur (via une empreinte digitale, une reconnaissance faciale, etc.) puis signe un challenge avec la clé privée. Résultat : plus de mot de passe à mémoriser ! Et, surtout, cette méthode d’authentification est bien plus robuste contre certaines attaques, dont le phishing ou les attaques par dictionnaire.
La firme de Redmond imagine déjà un futur sans mot de passe, bien qu’il y ait encore du chemin à parcourir : “Selon l’alliance FIDO, plus de 15 milliards de comptes d’utilisateurs peuvent désormais s’identifier à l’aide de clés d’accès au lieu de mots de passe. Mais nous avons besoin de milliards d’utilisateurs supplémentaires pour que chaque connexion se fasse sans mot de passe.”, peut-on lire.
Qu’en pensez-vous ?
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.