Avec Windows 11, Microsoft veut offrir à termes une expérience d'authentification totalement dénuée de mots de passe. Pour les chercheurs en sécurité informatique de WatchGuard Threat Lab, cette stratégie est vouée à l'échec.

Cela fait plusieurs années maintenant que Microsoft souhaite se débarrasser définitivement des mots de passe comme principal système d'authentification. Déjà en 2019, la firme de Redmond proposait une connexion sans mot de passe sur Windows 10. Et depuis septembre 2021, les utilisateurs ont même la possibilité de supprimer leur de mot de passe de leur compte Microsoft, au profit d'autres méthodes d'identification comme Microsoft Authentificator, Windows Hello ou des solutions biométriques.

Bien entendu, Microsoft compte poursuivre sur cette voie avec Windows 11. Seulement et d'après des chercheurs en sécurité informatique de WatchGuard Threat Lab, une expérience Windows sans mot de passe est vouée à l'échec, “l'entreprise répétant les mêmes erreurs que par le passé” assurent-ils.

Avec son dernier OS, Microsoft veut offrir une expérience sans mot de passe, dans laquelle la biométrie, les tokens d'authentification, les clés de sécurité et les e-mail contenant un mot de passe unique relèguent nos traditionnels mots de passe aux oubliettes. Cependant et aux yeux de ses experts, Microsoft reproduit toujours la même erreur : ne pas imposer une approche d'authentification multifactorielle (MFA pour Multi-Factor Authentification).

À lire également : Top des pires mots de passe de 2020 – il est encore temps de changer !

Microsoft doit imposer l'authentification à plusieurs facteurs

Comme ils le précisent, toutes ces solutions d'identification sont contournables et ils rappellent au passage que ces méthodes ont déjà été compromises par des chercheurs ou des cybercriminels par le passé. “Microsoft aurait vraiment pu résoudre le problème de la validation de l'identité numérique en rendant la MFA obligatoire et facile à utiliser dans Windows. Les organisations devraient obliger les utilisateurs à jumeler deux méthodes d'authentification, comme la biométrie ou les tokens avec une notification push envoyée sur votre smartphone via un canal chiffré par exemple”, explique Corey Nachreiner, CSO de WatchGuard Technologies.

De leur avis, les sociétés d'assurance vont également militer pour la mise en place systématique de deux protocoles de sécurité conjoints. Selon eux, ce n'est qu'une question de temps avant que les assureurs en sécurité informatique ne réalisent que les coûts nécessaires pour couvrir les cybermenaces comme les ransomwares ont augmenté de façon spectaculaire.

De fait, les sociétés d'assurance ne vont pas tarder à augmenter leur prix, mais ils scanneront et auditeront attentivement la sécurité informatique des clients potentiels avant de fournir quelconque couverture. “En 2022, si vous n'avez pas mis en place les protections adéquates, notamment la MFA, vous risquez de ne pas obtenir la cyberassurance dont vous avez besoin au prix que vous souhaitez”, assure le cadre de WatchGuard Technologies.

Source : TechRadar