De nouveaux changements de mot de passe surviennent alors que les attaques se multiplient
Microsoft a confirmé son intention de supprimer les mots de passe d’un milliard d’utilisateurs. « L’ère des mots de passe touche à sa fin », affirme-t-il, avertissant les utilisateurs que « les mauvais acteurs le savent, c’est pourquoi ils accélèrent désespérément les attaques liées aux mots de passe tant qu’ils le peuvent encore ».
L’entreprise « bloque désormais 7 000 attaques sur les mots de passe par seconde… presque le double d’il y a un an ». Les attaques de phishing par un adversaire du milieu ont également augmenté de 146 % d’une année sur l’autre. Tout cela est une mauvaise nouvelle. Mais il y a de bonnes nouvelles à venir, dit-il, « nous n’avons jamais eu de meilleure solution à ces attaques omniprésentes : les mots de passe ».
Dans un article de blog publié jeudi, Microsoft expose les moyens par lesquels il prévoit de « convaincre un milliard d’utilisateurs d’aimer les mots de passe », grâce à une conception perspicace. « Les clés d’accès offrent non seulement une expérience utilisateur améliorée en vous permettant de vous connecter plus rapidement avec votre visage, votre empreinte digitale ou votre code PIN, mais elles ne sont pas non plus sensibles aux mêmes types d’attaques que les mots de passe. De plus, les mots de passe éliminent les mots de passe oubliés et les codes à usage unique.
L’adoption des clés d’accès s’est accélérée cette année. « Au cours des deux années qui ont suivi l’annonce et la mise à la disposition des consommateurs des clés d’accès, l’Alliance FIDO rapporté il y a quelques semaines, « la connaissance des mots de passe a augmenté de 50 %, passant de 39 % familiers en 2022 à 57 % en 2024 ».
Et tout comme Microsoft, la facilité d’utilisation est importante, tout comme l’amélioration de la sécurité. « La majorité de ceux qui connaissent les mots de passe permettent à la technologie de se connecter… Pendant ce temps, même si les mots de passe restent le moyen le plus courant de connexion à un compte, leur utilisation a globalement diminué à mesure que les alternatives augmentent en disponibilité. »
Voyage vers un avenir sans mot de passe
Le blog de Microsoft vise à approfondir cette courbe d’adoption, car comme toujours, ce seront les 30 à 40 % d’utilisateurs restants qui seront les plus difficiles à convaincre. « D’une manière ou d’une autre, nous avons dû convaincre une population incroyablement nombreuse et diversifiée de changer de façon permanente un comportement familier – et d’en être enthousiaste. Nous nous sommes demandé : comment allons-nous convaincre plus d’un milliard de personnes d’aimer les passe-clés autant que nous ? »
Et une fois cela fait, les données suggèrent qu’il n’y aura plus de retour en arrière :
- « La connexion avec un mot de passe est trois fois plus rapide qu’avec un mot de passe traditionnel et huit fois plus rapide qu’un mot de passe et une MFA traditionnelle.
- Les utilisateurs réussissent trois fois plus à se connecter avec des mots de passe qu’avec des mots de passe (98 % contre 32 %).
- 99 % des utilisateurs qui démarrent le processus d’enregistrement du mot de passe le terminent. »
J’aime l’approche en trois étapes proposée par Microsoft : commencer petit par des premières étapes simples, expérimenter différentes approches et enfin évoluer.
«Même si nous demandons à nos plus d’un milliard d’utilisateurs de s’inscrire et d’utiliser des clés d’accès», déclare Microsoft, «si un utilisateur dispose à la fois d’une clé d’accès et d’un mot de passe, et que les deux accordent l’accès à un compte, le compte reste exposé au risque de phishing. Notre objectif ultime est de supprimer complètement les mots de passe et de disposer de comptes prenant uniquement en charge les informations d’identification résistantes au phishing. La société a proposé la suppression des mots de passe en 2022 et rapporte désormais que « des millions d’utilisateurs ont supprimé leurs mots de passe ».
C’est vraiment aussi simple que cela. Vous devez utiliser les mots de passe partout où ils sont disponibles. Cela lie l’accès sécurisé à un compte, une application ou un service au matériel physique que vous utilisez, qui est protégé par un accès biométrique et un code PIN qui n’est jamais partagé ou conservé hors de l’appareil. Il est même plus sécurisé que le 2FA, étant donné que la plupart des 2FA sont basés sur des messages SMS et peuvent être interceptés par une application malveillante sur l’appareil.
