Microsoft rejoint Apple et Google en déployant la prise en charge des passkeys dans les comptes des consommateurs pour les connexions sans mot de passe
Microsoft a mis en place la prise en charge des passkeys pour les comptes des consommateurs. Les passkeys sont une méthode de connexion sans mot de passe conçue pour empêcher les prises de contrôle de comptes en réduisant ou en éliminant l'utilisation de mots de passe. Au lieu des mots de passe, la reconnaissance faciale, les scans d'empreintes digitales ou les numéros PIN sont utilisés pour se connecter aux comptes.
Méthodes actuelles de sécurisation des comptes en ligne
Les mots de passe des comptes en ligne nécessitent souvent une combinaison hachée de lettres minuscules et majuscules, de chiffres et de symboles qui est facilement oubliée et fastidieuse à taper, mais qui peut être volée par des pirates utilisant le phishing, les logiciels malveillants et d'autres méthodes.
L'un des moyens d'accroître la sécurité des comptes est d'exiger des codes PIN textuels en plus des mots de passe. Bien qu'il soit plus sûr qu'un mot de passe seul, les pirates peuvent toujours intercepter le code par le biais de clonage SIM illégalsIM , piratage de téléphone portableet en reniflant le réseau cellulaire lorsqu'ils ciblent des personnalités telles que le président. La plupart des comptes protégés par un code PIN restent néanmoins mieux sécurisés.
Un autre moyen de renforcer la sécurité des comptes est d'utiliser des dispositifs et des logiciels à deux facteurs(2FA)(comme celui-ci sur Amazon) qui génèrent un code unique à saisir en même temps que le mot de passe. Alors que les logiciels 2FA sont vulnérables aux logiciels malveillants et au clonage, le matériel 2FA est difficile à copier, ce qui en fait un outil populaire pour sécuriser les comptes. Cependant, les pirates informatiques ont également trouvé des moyens de contourner la sécurité 2FA.
Mots de passe
Le problème des mots de passe oubliés existe dans les méthodes ci-dessus, c'est pourquoi les passkeys sont promus par de grandes entreprises telles que Apple, Google et Microsoft comme une alternative au matériel 2FA. Pour la majorité des utilisateurs, les connexions par passkey sont généralement authentifiées par la reconnaissance faciale, le balayage des empreintes digitales ou la saisie d'un code PIN sur le smartphone. Microsoft précise que toutes les données biométriques restent sur l'appareil de l'utilisateur et ne lui sont jamais envoyées.
L'un des avantages du système de passe est qu'une paire de clés cryptographiques est créée pour chaque compte en ligne et qu'elle lui est propre. Une connexion pour un compte ne fonctionnera pas pour un autre compte. Les lecteurs qui souhaitent essayer le nouveau monde des connexions sans mot de passe peuvent lire l'installation d'un passkey pour les comptes de consommateurs sur le site de Microsoft, Appleet Google.
Les lecteurs qui ne souhaitent pas utiliser de passe-partout peuvent continuer à utiliser des codes PIN ou des dispositifs matériels 2FA comme celui-ci sur Amazon (n'oubliez pas d'acheter une copie de sauvegarde supplémentaire).
Problèmes potentiels liés aux pass keys
Les passkeys présentent des problèmes et des vulnérabilités potentiels. Le premier est l'absence de deux éléments d'information différents pour les connexions - seul le téléphone ou le dispositif 2FA est requis, de sorte que les appareils volés ont la possibilité de se connecter à tous les comptes. Les enfants savent comment regarder par-dessus leur épaule pour voler un code PIN, et les pirates ont réussi à casser la reconnaissance faciale de Microsoft et la vérification des empreintes digitales et la vérification des empreintes digitales avant. De plus, de nombreux comptes protégés par des clés restent vulnérables parce que les mots de passe sont utilisés comme méthode de récupération. Les pirates peuvent donc se faire passer pour vous tant que vous continuez à utiliser la même empreinte digitale pour l'authentification.
La perte de la base de données des clés est également un problème important. Si les mots de passe sont totalement éliminés, la perte de la base de données de clés sans méthode sûre de récupération du compte peut instantanément bloquer les utilisateurs pour toujours, comme de nombreux détenteurs de bitcoins en ont fait l'expérience après avoir perdu leur smartphone. Le problème reste si important que même l'auteur de webauthn-rs ( ) n'en est pas convaincutout comme de nombreux utilisateurs qui ont signalé que leur clé d'accès avait été détruite par erreur par Apple et d'autres entreprises. Par ailleurs, la NSA sait que la cryptographie non quantique actuelle, , est à risqueles utilisateurs avisés devraient donc se méfier des sauvegardes de passe sur le nuage.
Stratégies de sécurisation des mots de passe et des comptes
Les gestionnaires de mots de passe tels que 1password et LastPass ont été piratés à plusieurs reprises, de sorte que même le fait d'autoriser les navigateurs web à se souvenir de vos secrets peut être une mauvaise idée, car un seul piratage réussi peut compromettre tous les comptes. Au lieu de cela, utilisez une stratégie de création de mot de passe dont vous pouvez facilement vous souvenir. Par exemple, phrase longue favorite + "initiale du nom du site" + chiffre + "symbole".
Une autre bonne stratégie consiste à isoler et à diviser. Par exemple, utilisez un compte de messagerie uniquement pour les finances et un autre pour la correspondance régulière - avec des mots de passe différents. Les ordinateurs portables sont suffisamment bon marché(comme celui-ci sur Amazon) pour que vous puissiez en acheter un uniquement pour les finances.
Parce que Les échanges de cartes SIM constituent une menace pour tous les utilisateurs qui sécurisent leurs comptes à l'aide de leurs cartes SIM pour tous les utilisateurs qui sécurisent leurs comptes à l'aide de leurs téléphones, lisez comment sécuriser votre carte SIM pour T-Mobile, Verizonou AT&T utilisateurs.
Source(s)
