Au moment de la mise en vente de plus de 100 millions de mots de passe LinkedIn piratés, Microsoft a décidé de réagir. Sur le blog d’Active Directory – sa division en charge des processus d’authentification, l’entreprise explique vouloir tirer les conséquences de ces piratages à répétition. Et la première d’entre elles concerne directement ses utilisateurs, qu’ils passent par ses clients mails (Outlook) ou Azure AD (solution utilisée par les entreprises). Pour les protéger, Microsoft déploie de nouvelles restrictions dans les choix de mots de passe.
Selon Robyn Hicock, un employé de chez Microsoft qui publie un livre blanc sur le sujet, demander aux gens de choisir un mot de passe plus complexe n’est pas forcément un choix optimal. Car ces mots de passe seraient également sujets au piratage pour une raison simple : nos choix restent prévisibles. Autrement dit, lorsqu’un utilisateur ne peut pas choisir «123456», il a tendance à se tourner vers d’autres sésames tout aussi faciles à mémoriser («$123456$», par exemple). Aujourd’hui, on retrouve donc une nouvelle liste des combinaisons les plus communes, parmi celles jugées comme complexes.
Face à ce constat, Microsoft va donc agir de façon plus pragmatique. En s’appuyant sur les données concernant les millions de mots de passe piratés, l’entreprise va bannir ceux que l’on retrouve le plus souvent, quelque soit leur niveau de complexité. La liste est mise à jour de façon dynamique, en incluant les informations concernant les nouveaux piratages.
Par ailleurs, Microsoft améliore son système de blocage en cas de soupçon d’intrusion. Mais le but est que l’utilisateur légitime puisse malgré tout accéder à son compte. Des données comme la localisation seront donc utilisées pour s’en assurer. Un processus qui rappelle celui de Google, qui veut établir des “scores de confiance” en associant plusieurs autres critères comme la reconnaissance faciale ou les habitudes de saisie de texte. Mais ce dernier irait bien plus loin que Microsoft, puisqu’il ambitionne purement et simplement de supprimer les mots de passe.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
