Microsoft a modifié le processus de configuration par défaut pour les nouveaux comptes Microsoft grand public, dirigeant les utilisateurs vers des méthodes d’authentification sans mot de passe dès le début. Ce changement, annoncé sur peut-être 1st pour coïncider le premier””> annoncé sur le 1er 1S href=”http://fidoalliance.org/fido-alliance-champions-widespread-sasskey-adoption-and-a-password-future-on-world-passkey-Day-2025/”Target=”_ Blank”> Journée mondiale de la colsy , Signifie les personnes créant des comptes pour des services tels que Xbox ou Copilot ne sera pas invité à créer un mot de passe traditionnel à la place. Guidé pour utiliser des méthodes plus modernes telles que Windows Hello-Système de Microsoft pour le visage, l’empreinte digitale ou la connexion PIN introduite il y a environ dix ans-ou l’application mobile Microsoft Authenticator. Cet ajustement reflète les efforts continus de Microsoft pour améliorer la sécurité des comptes au milieu d’une marée croissante de cyber-menaces liées aux mots de passe.
La société justifie le déménagement en pointant les vulnérabilités des mots de passe et la sophistication croissante des attaques les ciblant. Les données de Microsoft indiquent un taux préoccupant de 7 000 attaques de mot de passe se produisant chaque seconde, Fido Alliance .
Authentification multi-facteurs. L’adoption semble croître, Microsoft notant que près d’un million de clés de pass sont enregistrées quotidiennement pour ses comptes.
Une nouvelle expérience de connexion et des préférences sans mot de passe
Cette approche sans mot de passe par expérience pour les nouveaux comptes est couplée à une redemance plus large de la connexion et de l’expérience utilisateur d’inscription. Cette interface mise à jour vise un look plus propre qui guide intrinsèquement les utilisateurs vers des options plus sécurisées et sans mot de passe.
Expliquer le changement pour les nouvelles inscriptions, Microsoft a déclaré: «[Brand Microsoft Accounts sera désormais« sans mot de passe par défaut ». Le système «sans mot de passe» est en cours de déploiement. Lors de la connexion, l’interface sera désormais par défaut la méthode la plus sécurisée déjà configurée sur le compte, comme un Passkey inscrit ou un identifiant Windows Hello, plutôt que de demander immédiatement un mot de passe.
Microsoft note que plus de 99% des utilisateurs connectent les appareils Windows avec leur compte Microsoft utilisent déjà Windows Hello. Si quelqu’un se connecte à utiliser une méthode moins sécurisée, il recevra des invites l’encourageant à Créer un colsky ou apprendre à Gérer les plats de passe dans Windows . En outre, les utilisateurs existants souhaitant s’engager pleinement peuvent visiter les paramètres de leur compte pour supprimer entièrement leur mot de passe. La société a indiqué que les essais internes de ce flux préféré ont conduit à une réduction d’utilisation du mot de passe supérieur à 20%.
Une stratégie développée au fil du temps
Cette dernière étape vers un avenir sans mot de passe est cohérente avec un objectif de sécurité plus large que Microsoft a articulé il y a un an. En mai 2024, à la suite de plusieurs cyberattaques, la société a élevé la sécurité comme sa priorité absolue dans le cadre de l’initiative Secure Future (SFI). C’est dans le cadre de cette initiative que la prise en charge initiale de la clé passante pour les comptes Microsoft de consommation a été lancée sur plusieurs plates-formes.
Depuis lors, Microsoft a continué à créer l’infrastructure nécessaire. Les mises à jour des API WebAuthn de Windows 11 (l’utilisation standard d’activation de la clé de passe dans les navigateurs et les applications Web) ont été introduites dans les builds d’aperçu en novembre 2024, ajoutant spécifiquement la prise en charge des gestionnaires tiers de PassKey.
Ce service a permis à 1 Password ou Bitwarden pour intégrer plus directement avec le système d’authentification Windows Hello. Ce travail technique complète les efforts dans l’espace d’entreprise, où Microsoft a commencé à appliquer le support Passkey dans son application Authenticator pour des politiques FIDO2 spécifiques à partir de janvier 2025.
Le contexte de sécurité plus large
L’accent mis sur des méthodes d’authentification plus fortes inférieures comme leskeys est également informée par les limites des techniques anciennes. Même certaines formes d’authentification multi-facteurs, bien que meilleures que les mots de passe seuls, ne sont pas immunisés contre les attaques.
Une vulnérabilité critique corrigée par Microsoft fin 2024 a impliqué sa mise en œuvre de mots de passe ponctuels basés sur le temps (TOTP)-les codes communs à six chiffres générés par Apps. La faille, liée à des limites de tentatives insuffisantes et à une fenêtre de validité de code trop longue, a démontré comment certaines méthodes de MFA pourraient encore être susceptibles d’être devinettes brutales. Oasis Security, qui a découvert le défaut, a noté que «les propriétaires de comptes n’ont reçu aucune alerte sur le nombre massif de tentatives infructueuses qui en résultent, ce qui rend cette technique de vulnérabilité et d’attaque dangereusement bas.» Cet incident renforce encore le cas des solutions cryptographiques résistantes au phishing comme Passkeys.
