Ces jours-ci, je semble très populaire en Russie, en Ukraine, en Moldavie, en Bosnie-Herzégovine et même en Albanie.
C’est du moins ce qui ressort de cette liste de tentatives récentes de connexion à mon compte Microsoft :
Ce que ces attaquants ne savent pas, c’est que tous les mots de passe sont incorrects pour ce compte qui est justement sans mot de passe. Capture d’écran par Ed Bott/ZDNET
Si vous souhaitez savoir qui essaie de se connecter à votre compte Microsoft, rendez-vous sur cette page de gestion : https://account.microsoft.com. Après avoir ouvert une session, cliquez sur Sécurité et aller la rubrique d’activité de connexion.
Dans mon cas, ces pirates perdent leur temps. Ils peuvent essayer toutes les combinaisons de lettres, de chiffres et de symboles de tous les alphabets connus de l’humanité, ils ne devineront jamais le mot de passe de mon compte Microsoft.
Pourquoi suis-je si confiant ? Parce qu’il y a longtemps, j’ai choisi de rendre ce compte sans mot de passe ! Si un inconnu veut se connecter à mon compte sur un nouvel appareil, il devra alors me convaincre d’approuver cette connexion à l’aide d’un appareil que j’ai déjà configuré.
Alors, devriez-vous vous passer de mot de passe ?
Microsoft souhaite que vous fassiez comme moi et que vous abandonniez votre mot de passe. Ce mois-ci, l’entreprise a lancé une nouvelle expérience utilisateur « optimisée pour une expérience sans mot de passe et avec des clés de connexion en premier lieu ».
Alors, devriez-vous le faire ? Pour la plupart des gens, la réponse est oui ! La suppression de votre mot de passe augmente considérablement la sécurité de votre compte Microsoft et le rend beaucoup plus résistant aux attaques de phishing. Une fois que vous avez supprimé votre mot de passe, le seul moyen de vous connecter à un appareil est de prouver votre identité à l’aide de la biométrie (empreinte digitale ou reconnaissance faciale), de clés de sécurité matérielles, de clés de sécurité synchronisables enregistrées dans un gestionnaire de mots de passe, ou en répondant à une notification push sur un appareil de confiance, comme illustré ici.
La méthode par défaut pour se connecter à un compte Microsoft sans mot de passe consiste à utiliser l’application Authenticator sur un appareil que vous possédez. Capture d’écran par Ed Bott/ZDNET
D’anciennes applications ou dispositifs matériels ne prennent pas en charge les méthodes d’authentification récentes
La seule raison technique de ne pas effectuer ce changement est l’utilisation d’anciennes applications ou de dispositifs matériels qui ne prennent pas en charge les méthodes d’authentification récentes :
- Office 2010 ou version antérieure
- Office pour Mac 2011 ou version antérieure
- Xbox 360
- Ou un PC fonctionnant sous Windows 8.1 ou version antérieure.
Vous rencontrerez également des problèmes si vous utilisez la fonction Bureau à distance pour vous connecter à un autre PC à l’aide de votre compte Microsoft.
L’absence de mot de passe n’est pas une mesure à prendre à la légère! Car ce surcroît de sécurité s’accompagne d’un risque accru de verrouillage de votre compte. Vous pouvez réduire ce risque en vous assurant que vous disposez de plusieurs moyens sûrs d’accéder à votre compte avant de supprimer votre mot de passe.
Vous êtes prêt à commencer ? Allons-y.
Étape 1 : vérifiez vos paramètres de sécurité actuels
- Allez sur la page de gestion de votre compte Microsoft à l’adresse https://account.microsoft.com et connectez-vous à l’aide de votre mot de passe.
- Cliquez sur l’onglet Sécurité, puis sur Gérer la façon dont je me connecte. Une page comme celle-ci devrait s’ouvrir :
Ajoutez au moins deux moyens de prouver votre identité. Une application Authenticator et une adresse électronique sont les meilleurs choix. Capture d’écran par Ed Bott/ZDNET
Voici un compte que j’ai créé à des fins de test. Il comporte un mot de passe et j’ai ajouté une adresse électronique à utiliser à des fins de vérification. Notez que les deux options de la rubrique Sécurité supplémentaire (Compte sans mot de passe et Vérification en deux étapes) sont toutes deux désactivées.
- Cliquez sur Ajouter un nouveau mode de connexion ou de vérification. La page affichée ici s’ouvre :
Utilisez la deuxième option pour configurer l’application Microsoft Authenticator comme moyen de connexion. Capture d’écran par Ed Bott/ZDNET
Étape 2 : configurez l’application Microsoft Authenticator sur votre appareil mobile
- Cliquez sur l’option du milieu, Utiliser une application. Si nécessaire, téléchargez et installez l’application Microsoft Authenticator app sur votre appareil mobile, puis validez pour afficher un code QR comme celui illustré ici :
Scannez ce code QR pour configurer votre compte Microsoft dans l’application Authenticator. Capture d’écran par Ed Bott/ZDNET
- Ouvrez l’application Authenticator sur votre appareil mobile, cliquez sur le signe plus et scannez le code QR à l’aide de l’appareil photo du smartphone pour ajouter votre nouveau compte. Le résultat devrait ressembler à ceci :
Une fois que vous avez créé votre compte sans mot de passe, l’option Modifier le mot de passe disparaît. Capture d’écran par Ed Bott/ZDNET.
Étape 3 : Configurer au moins deux autres moyens de se connecter
L’application Authenticator est un moyen simple de se connecter sans mot de passe. Mais que se passe-t-il si vous perdez votre téléphone ? Il vous faut alors une autre méthode d’ouverture de session. Si vous avez configuré la vérification en deux étapes, vous aurez besoin de deux facteurs.
- Cliquez sur le bouton d’envoi d’un code pour saisir une autre adresse électronique.
- Choisissez d’afficher plus d’options pour avoir la possibilité d’entrer un numéro de téléphone où vous pourrez recevoir un code par SMS. En plus de votre téléphone personnel, pensez à ajouter le numéro de téléphone de votre partenaire, ce qui vous donne une alternative supplémentaire en cas de perte ou de vol de votre propre mobile.
- Choisissez l’option « Visage, empreinte digitale, code PIN ou clé de sécurité » pour créer une clé de sécurité matérielle, en utilisant Windows Hello avec reconnaissance faciale ou un lecteur d’empreintes digitales sur un PC, ou une clé de sécurité Apple iCloud Keychain, en utilisant Touch ID sur un MacBook. Vous pouvez également utiliser cette option avec une clé de sécurité USB.
- Si votre gestionnaire de mots de passe prend en charge cette fonctionnalité, vous pouvez créer un passkey qui se synchronise entre les appareils. Dashlane, 1Password et Bitwarden prennent tous en charge les clés de sécurité.
Étape 4 : Créez un code de récupération et enregistrez-le en lieu sûr
Il s’agit de l’option « En cas d’urgence ».
- Retournez à la page Gérer la façon dont je me connecte de l’étape 1 et descendez jusqu’au bas de la page.
- Sous la rubrique Code de récupération, cliquez sur l’option permettant de générer un nouveau code.
- Imprimez-le et conservez-le dans un endroit sûr.
- Envisagez peut-être d’en envoyer une copie à un membre de votre famille en qui vous avez confiance et qui pourra la conserver au cas où vous en auriez besoin.
En cas d’échec, ce code vous permettra de récupérer votre compte.
Étape 5 : Activez l’option sans mot de passe
Vous n’êtes pas obligé de faire cette étape tout de suite. Toutes les options sans mot de passe que vous avez configurées (Authenticator, passkeys, etc.) fonctionneront immédiatement. Accordez-vous une semaine ou deux pour vous assurer que tout fonctionne comme prévu.
Lorsque vous êtes prêt, retournez à la page de gestion de votre connexion, faites défiler jusqu’à la section Compte sans mot de passe et activez cette option.
Source : « ZDNet.com »