Pourquoi un code pin est préférable à un mot de passe en ligne

Windows Hello permet aux utilisateurs de se connecter à leur appareil à l’aide d’un code confidentiel. En quoi un code confidentiel est-il différent (et mieux que) un mot de passe local ? À première vue, un code confidentiel ressemble beaucoup à un mot de passe. Un code pin peut être un ensemble de chiffres, mais la stratégie d’entreprise peut appliquer des codes confidentiels complexes qui incluent des caractères spéciaux et des lettres, en majuscules et en minuscules. Quelque chose comme t758A! peut être un mot de passe de compte ou un code pin Hello complexe. Ce n’est pas la structure d’un code confidentiel (longueur, complexité) qui le rend meilleur qu’un mot de passe en ligne, c’est la façon dont il fonctionne. Tout d’abord, nous devons faire la distinction entre deux types de mots de passe : les mots de passe locaux sont validés par rapport au magasin de mots de passe de l’ordinateur, tandis que les mots de passe en ligne sont validés sur un serveur. Cet article décrit principalement les avantages d’un code confidentiel par rapport à un mot de passe en ligne, ainsi que la raison pour laquelle il peut être considéré comme encore meilleur qu’un mot de passe local.

Regardez Dana Huang expliquer pourquoi un code confidentiel Windows Hello Entreprise est plus sécurisé qu’un mot de passe en ligne.

Un code confidentiel est lié à l’appareil

Une différence importante entre un mot de passe en ligne et un code confidentiel Hello est que le code confidentiel est lié à l’appareil spécifique sur lequel il a été configuré. Ce code confidentiel est parfaitement inutile sans ce matériel spécifique. Une personne qui obtient votre mot de passe en ligne peut se connecter à votre compte à partir de n’importe où, mais si elle obtient votre code confidentiel, elle doit également accéder à votre appareil.

Le code pin ne peut pas être utilisé n’importe où, sauf sur cet appareil spécifique. Si vous voulez vous connecter sur plusieurs appareils, vous devez configurer Hello sur chaque appareil.

Le code confidentiel est local à l’appareil

Un mot de passe en ligne est transmis au serveur. Le mot de passe peut être intercepté lors de la transmission ou obtenu à partir d’un serveur. Un code confidentiel est local sur l’appareil, il n’est jamais transmis n’importe où et il n’est pas stocké sur le serveur. Quand le code confidentiel est créé, il établit une relation de confiance avec le fournisseur d’identité et crée une paire de clés asymétriques utilisée pour l’authentification. Lorsque vous entrez votre code confidentiel, vous déverrouillez la clé d’authentification, qui est utilisée pour signer la demande envoyée au serveur d’authentification. Même si les mots de passe locaux sont locaux sur l’appareil, ils sont moins sécurisés qu’un code confidentiel, comme décrit dans la section suivante.

Remarque

Pour plus d’informations sur la façon dont Hello utilise des paires de clés asymétriques pour l’authentification, consultez Windows Hello Entreprise.

Le code confidentiel PIN est renforcé par le matériel

Le code confidentiel Hello est renforcé par une puce de module de plateforme sécurisée (TPM), qui est un processeur de chiffrement sécurisé conçu pour effectuer des opérations de chiffrement. La puce comprend plusieurs mécanismes de sécurité physique qui la protègent contre la falsification, et les logiciels malveillants ne peuvent pas falsifier les fonctions de sécurité du TPM. Windows ne lie pas les mots de passe locaux au TPM. Par conséquent, les codes confidentiels sont considérés comme plus sécurisés que les mots de passe locaux.

Le matériel de clé utilisateur est généré et disponible dans le module de plateforme sécurisée de l’appareil. Le module de plateforme sécurisée protège le matériel clé contre les attaquants qui souhaitent le capturer et le réutiliser. Étant donné que Hello utilise des paires de clés asymétriques, les informations d’identification des utilisateurs ne peuvent pas être volées dans les cas où le fournisseur d’identité ou les sites web auxquels l’utilisateur accède ont été compromis.

Le module de plateforme sécurisée (TPM) protège contre diverses attaques connues et potentielles, notamment les attaques par force brute par code confidentiel. Après un trop grand nombre de tentatives infructueuses, l’appareil est verrouillé.

Le code confidentiel peut être complexe

Le code confidentiel Windows Hello Entreprise est soumis au même ensemble de stratégies de gestion informatique qu’un mot de passe : complexité, longueur, expiration, historique, etc. Bien que le code confidentiel évoque généralement un simple code à 4 chiffres, les administrateurs peuvent définir des stratégies afin que les appareils gérés nécessitent une complexité de code confidentiel similaire à celle d’un mot de passe. Vous pouvez imposer ou interdire les caractères spéciaux, les majuscules, les minuscules et les chiffres.

Que se passe-t-il si quelqu’un vole l’appareil ?

Pour compromettre un Windows Hello informations d’identification que le module TPM protège, un attaquant doit avoir accès à l’appareil physique. Ensuite, l’attaquant doit trouver un moyen d’usurper la biométrie de l’utilisateur ou de deviner le code confidentiel. Toutes ces actions doivent être effectuées avant que la protection anti-marteau TPM verrouille l’appareil. Vous pouvez fournir davantage de protection pour les ordinateurs portables qui n’ont pas de module de plateforme sécurisée en activant BitLocker et en définissant une stratégie pour limiter les échecs de connexion.

Configurer BitLocker sans TPM

Pour activer BitLocker sans TPM, procédez comme suit :

  1. Ouvrez l’Éditeur de stratégie de groupe local (gpedit.msc) et activez la stratégie : Configuration > ordinateur Modèles d’administration > Composants Windows Les > lecteurs > du système d’exploitation BitLocker Drive Encryption > Nécessitent une authentification supplémentaire au démarrage
  2. Dans l’option de stratégie, sélectionnez Autoriser BitLocker sans module de plateforme sécurisée (TPM > ) compatible OK
  3. Sur l’appareil, ouvrez Panneau de configuration > système et sécurité > Chiffrement de lecteur BitLocker
  4. Sélectionner le lecteur du système d’exploitation à protéger

Définir le seuil de verrouillage du compte

Pour configurer le seuil de verrouillage du compte, procédez comme suit :

  1. Ouvrez l’Éditeur de stratégie de groupe local (gpedit.msc) et activez la stratégie : Configuration > ordinateur Paramètres Windows Paramètres > de sécurité Stratégies > de compte > Stratégie de verrouillage de > compte Seuil de verrouillage du compte
  2. Définissez le nombre de tentatives d’ouverture de session non valides à autoriser, puis sélectionnez OK

Pourquoi un code confidentiel est-il nécessaire pour utiliser la biométrie ?

Windows Hello active la connexion biométrique pour Windows : empreinte digitale, iris ou reconnaissance faciale. Lorsque vous configurez Windows Hello, vous êtes invité à créer un code confidentiel après la configuration biométrique. Le code confidentiel vous permet de vous connecter lorsque vous ne pouvez pas utiliser vos données biométriques préférées en raison d’une blessure ou d’un capteur indisponible ou ne fonctionne pas correctement.

Si vous aviez uniquement une connexion biométrique configurée et que, pour une raison quelconque, vous ne parvenez pas à utiliser cette méthode pour vous connecter, vous devrez vous connecter à l’aide de votre compte et de votre mot de passe, ce qui ne vous offre pas le même niveau de protection que Hello.