Connexion sans mot de passe

• S’applique à:

  Windows 11

Les mots de passe sont un élément fondamental de la sécurité numérique, mais ils sont souvent peu pratiques et vulnérables aux cyberattaques. Avec Windows 11, les utilisateurs peuvent bénéficier d’une protection sans mot de passe, qui offre une alternative plus sécurisée et conviviale. Après un processus d’autorisation sécurisé, les informations d’identification sont protégées par plusieurs couches de sécurité matérielle et logicielle, fournissant aux utilisateurs un accès transparent et sans mot de passe à leurs applications et services cloud.

Windows Hello

Trop souvent, les mots de passe sont faibles, volés ou oubliés. Les organisations se tournent vers la connexion sans mot de passe pour réduire le risque de violations, réduire le coût de gestion des mots de passe et améliorer la productivité et la satisfaction de leurs utilisateurs et clients. Microsoft s’engage à aider les organisations à progresser vers un avenir sécurisé et sans mot de passe avec Windows Hello, pierre angulaire de la sécurité et de la protection des identités Windows.

Windows Hello pouvez activer la connexion sans mot de passe à l’aide de la vérification biométrique ou du code confidentiel et fournit une prise en charge intégrée de la norme du secteur sans mot de passe FIDO2. Par conséquent, les utilisateurs n’ont plus besoin de transporter du matériel externe comme une clé de sécurité pour l’authentification.

L’expérience de connexion sécurisée et pratique peut augmenter ou remplacer les mots de passe par un modèle d’authentification plus fort basé sur un code confidentiel ou des données biométriques telles que la reconnaissance faciale ou par empreinte digitale sécurisée par le module de plateforme sécurisée (TPM). Des instructions pas à pas facilitent la configuration.

À l’aide de clés asymétriques approvisionnées dans le module TPM, Windows Hello protège l’authentification en liant les informations d’identification d’un utilisateur à son appareil. Windows Hello valide l’utilisateur en fonction d’un code confidentiel ou d’une correspondance biométrique et autorise uniquement l’utilisation de clés de chiffrement liées à cet utilisateur dans le TPM.

Le code confidentiel et les données biométriques restent sur l’appareil et ne peuvent pas être stockés ou accessibles en externe. Étant donné que les données ne sont accessibles à personne sans accès physique à l’appareil, les informations d’identification sont protégées contre les attaques par relecture, le hameçonnage et l’usurpation d’identité, ainsi que contre la réutilisation et les fuites de mot de passe.

Windows Hello pouvez authentifier les utilisateurs auprès d’un compte Microsoft (MSA), des services de fournisseur d’identité ou des parties de confiance qui implémentent également les normes FIDO2 ou WebAuthn.

Pour en savoir plus

• Configurer Windows Hello

PIN Windows Hello

Le code pin Windows Hello, qui ne peut être entré que par une personne disposant d’un accès physique à l’appareil, peut être utilisé pour une authentification multifacteur forte. Le code confidentiel est protégé par le module de plateforme sécurisée et, comme les données biométriques, ne quitte jamais l’appareil. Lorsqu’un utilisateur entre son code confidentiel, une clé d’authentification est déverrouillée et utilisée pour signer une demande envoyée au serveur d’authentification.

Le TPM protège contre les menaces, notamment les attaques par force brute de code confidentiel sur les appareils perdus ou volés. Après un trop grand nombre d’hypothèses incorrectes, l’appareil se verrouille. Les administrateurs informatiques peuvent définir des stratégies de sécurité pour les codes confidentiels, telles que les exigences de complexité, de longueur et d’expiration.

Nouveautés de Windows 11, version 24H2

Si votre appareil n’a pas de biométrie intégrée, Windows Hello a été améliorée pour utiliser la sécurité basée sur la virtualisation (VBS) par défaut pour isoler les informations d’identification. Cette couche de protection supplémentaire permet de se prémunir contre les attaques au niveau de l’administrateur. Même lorsque vous vous connectez avec un code confidentiel, vos informations d’identification sont stockées dans un conteneur sécurisé, garantissant ainsi la protection sur les appareils avec ou sans capteurs biométriques intégrés.

Windows Hello biométrie

Windows Hello connexion biométrique améliore la sécurité et la productivité grâce à une expérience de connexion rapide et pratique. Il n’est pas nécessaire d’entrer votre code confidentiel. utilisez simplement vos données biométriques pour une connexion facile et agréable.

Les appareils Windows qui prennent en charge le matériel biométrique, comme les caméras d’empreinte digitale ou de reconnaissance faciale, s’intègrent directement à Windows Hello, ce qui permet d’accéder aux ressources et services du client Windows. Les lecteurs biométriques pour le visage et les empreintes digitales doivent être conformes aux exigences biométriques Windows Hello. Windows Hello reconnaissance faciale est conçue pour s’authentifier uniquement à partir des caméras approuvées utilisées au moment de l’inscription.

Si une caméra périphérique est attachée à l’appareil après l’inscription, elle peut être utilisée pour l’authentification faciale une fois validée en vous connectant avec la caméra interne. Pour plus de sécurité, les caméras externes peuvent être désactivées pour une utilisation avec Windows Hello reconnaissance faciale.

Pour en savoir plus

• Windows Hello exigences biométriques

Détection de présence Windows

La détection de présence Windows^[9] fournit une autre couche de protection de la sécurité des données pour les workers hybrides. Windows 11 appareils peuvent s’adapter intelligemment à la présence d’un utilisateur pour l’aider à rester en sécurité et productif, qu’il travaille à domicile, au bureau ou dans un environnement public.

La détection de présence Windows combine des capteurs de détection de présence avec Windows Hello reconnaissance faciale pour connecter l’utilisateur en mains libres et verrouille automatiquement l’appareil au départ de l’utilisateur. Avec la gradation adaptative, le PC assombrit l’écran lorsque l’utilisateur détoure le regard sur les appareils compatibles avec des capteurs de présence. Il est également plus facile que jamais de configurer des capteurs de présence sur les appareils, avec une activation facile dans l’expérience prête à l’emploi et de nouveaux liens dans Les paramètres pour vous aider à trouver des fonctionnalités de détection de présence. Les fabricants d’appareils peuvent personnaliser et créer des extensions pour le capteur de présence.

La confidentialité est au premier plan et plus importante que jamais. Les clients souhaitent avoir plus de transparence et de contrôle sur l’utilisation de leurs informations. Les nouveaux paramètres de confidentialité de l’application permettent aux utilisateurs d’autoriser ou de bloquer l’accès à leurs informations de capteur de présence. Les utilisateurs peuvent décider de ces paramètres lors de la configuration initiale Windows 11.

Les utilisateurs peuvent également tirer parti de paramètres plus granulaires pour activer et désactiver facilement les fonctionnalités de détection de présence différenciées telles que la sortie de veille à l’approche, le verrouillage à la sortie et la gradation adaptative. Nous prenons également en charge les développeurs avec de nouvelles API pour la détection de présence pour les applications tierces. Les applications tierces peuvent désormais accéder aux informations de présence des utilisateurs sur les appareils équipés de capteurs de présence.

Pour en savoir plus

• Détection de présence
• Gérer les paramètres de détection de présence dans Windows 11

Windows Hello Entreprise

Windows Hello Entreprise étend Windows Hello pour utiliser les comptes Active Directory et Microsoft Entra ID d’une organization. Il fournit un accès par authentification unique aux ressources professionnelles ou scolaires telles que OneDrive, la messagerie professionnelle et d’autres applications professionnelles. Windows Hello Entreprise permet également aux administrateurs informatiques de gérer les exigences de code confidentiel et de connexion pour les appareils qui se connectent à des ressources professionnelles ou scolaires.

Une fois Windows Hello Entreprise approvisionné, les utilisateurs peuvent utiliser un code confidentiel, un visage ou une empreinte digitale pour déverrouiller leurs informations d’identification et se connecter à leur appareil Windows.

Les méthodes d’approvisionnement sont les suivantes :

• Clés d’accès (préversion), qui fournissent un moyen transparent pour les utilisateurs de s’authentifier auprès de Microsoft Entra ID sans entrer de nom d’utilisateur ou de mot de passe
• Passe d’accès temporaire (TAP), un code secret limité dans le temps avec des exigences d’authentification fortes émises via Microsoft Entra ID
• Authentification multifacteur existante avec Microsoft Entra ID, y compris l’application Microsoft Authenticator

Windows Hello Entreprise améliore la sécurité en remplaçant les noms d’utilisateur et mots de passe traditionnels par une combinaison d’une clé ou d’un certificat de sécurité et d’un code confidentiel ou de données biométriques. Cette configuration mappe de manière sécurisée les informations d’identification à un compte d’utilisateur.

Différents modèles de déploiement sont disponibles pour Windows Hello Entreprise, offrant ainsi la flexibilité nécessaire pour répondre aux divers besoins des différentes organisations. Parmi ceux-ci, le modèle d’approbation Kerberos de cloud hybride est recommandé et considéré comme le plus simple pour les organisations qui opèrent dans des environnements hybrides.

Pour en savoir plus

• Windows Hello Entreprise vue d’ensemble
• Activer les clés d’accès (FIDO2) pour votre organization

Réinitialisation du code confidentiel

Le service de réinitialisation du code confidentiel Microsoft permet aux utilisateurs de réinitialiser leurs codes confidentiels Windows Hello oubliés sans nécessiter une réinscription. Après avoir inscrit le service dans le locataire Microsoft Entra ID, la fonctionnalité doit être activée sur les appareils Windows à l’aide d’une stratégie de groupe ou d’une solution de gestion des appareils comme Microsoft Intune^[4].

Les utilisateurs peuvent lancer une réinitialisation du code confidentiel à partir de l’écran de verrouillage Windows ou à partir des options de connexion dans Paramètres. Le processus implique l’authentification et la réalisation de l’authentification multifacteur pour réinitialiser le code confidentiel.

Pour en savoir plus

• Réinitialisation du code confidentiel

Déverrouillage multifacteur

Pour les organisations qui ont besoin d’une couche supplémentaire de sécurité de connexion, le déverrouillage multifacteur permet aux administrateurs informatiques de configurer Windows pour exiger une combinaison de deux signaux approuvés uniques pour se connecter. Les exemples de signaux approuvés incluent un code confidentiel ou des données biométriques (visage ou empreinte digitale) combinés à un code confidentiel, bluetooth, configuration IP ou Wi-Fi.

Le déverrouillage multifacteur est utile pour les organisations qui doivent empêcher les travailleurs de l’information de partager des informations d’identification ou qui doivent se conformer aux exigences réglementaires d’une stratégie d’authentification à deux facteurs.

Pour en savoir plus

• Déverrouillage multifacteur

Expérience sans mot de passe Windows

Windows Hello Entreprise prennent désormais en charge une expérience entièrement sans mot de passe.

Les administrateurs informatiques peuvent configurer une stratégie sur Microsoft Entra ID machines jointes afin que les utilisateurs ne voient plus l’option permettant d’entrer un mot de passe lors de l’accès aux ressources de l’entreprise. Une fois la stratégie configurée, les mots de passe sont supprimés de l’expérience utilisateur Windows, à la fois pour les scénarios de déverrouillage de l’appareil et d’authentification en session. Toutefois, les mots de passe ne sont pas encore éliminés du répertoire d’identité. Les utilisateurs sont censés naviguer dans leurs scénarios d’authentification principaux à l’aide d’informations d’identification fortes, résistantes aux hameçonnages et basées sur la possession, comme les clés de sécurité Windows Hello Entreprise et FIDO2. Si nécessaire, les utilisateurs peuvent utiliser des mécanismes de récupération sans mot de passe tels que le service de réinitialisation du code confidentiel Microsoft ou la connexion web.

Les utilisateurs s’authentifient directement avec Microsoft Entra ID, ce qui permet d’accélérer l’accès aux applications locales et à d’autres ressources.

Pour en savoir plus

• Expérience sans mot de passe Windows

Sécurité de connexion améliorée (ESS)

Windows Hello prend en charge la sécurité de connexion renforcée, qui utilise des composants matériels et logiciels spécialisés pour élever la barre de sécurité encore plus haut pour la connexion biométrique.

La biométrie de la sécurité de connexion améliorée utilise la sécurité basée sur la virtualisation (VBS) et le TPM pour isoler les processus d’authentification utilisateur et les données et sécuriser le chemin par lequel les informations sont communiquées.

Ces composants spécialisés protègent contre une classe d’attaques qui inclut l’injection d’échantillons biométriques, la relecture et la falsification. Par exemple, les lecteurs d’empreintes digitales doivent implémenter le protocole Secure Device Connection Protocol, qui utilise la négociation de clé et un certificat émis par Microsoft pour protéger et stocker en toute sécurité les données d’authentification utilisateur. Pour la reconnaissance faciale, des composants tels que la table SDEV (Secure Devices) et l’isolation des processus avec trustlets permettent d’empêcher d’autres classes d’attaque.

La sécurité de connexion améliorée est configurée par les fabricants d’appareils pendant le processus de fabrication et est généralement prise en charge sur les PC à cœur sécurisé. Pour la reconnaissance faciale, la sécurité de connexion renforcée est prise en charge par des combinaisons spécifiques de silicium et d’appareil photo , case activée avec le fabricant de l’appareil spécifique. L’authentification par empreinte digitale est disponible sur tous les types de processeurs. Contactez des oem spécifiques pour obtenir des détails de support.

Pour en savoir plus

• Windows Hello Entreprise connexion à la sécurité renforcée (ESS)

FIDO2

L’Alliance FIDO, l’organisme de normalisation de l’industrie Fast Identity Online, a été créé pour promouvoir les technologies d’authentification et les normes qui réduisent la dépendance aux mots de passe. FIDO Alliance et W3C (World Wide Web Consortium) ont travaillé ensemble pour définir les spécifications CTAP2 (Client to Authenticator Protocol) et WebAuthn (WebAuthn). Ces spécifications sont la norme du secteur pour fournir une authentification forte, résistante au hameçonnage, conviviale et préservant la confidentialité sur le web et les applications. Les normes et certifications FIDO sont reconnues comme la norme de référence pour la création de solutions d’authentification sécurisées dans les entreprises, les gouvernements et les marchés de consommation.

Windows 11 pouvez également utiliser des clés de sécurité FIDO2 externes pour l’authentification avec ou en plus de Windows Hello et Windows Hello Entreprise, qui est également une solution sans mot de passe certifiée FIDO2. Par conséquent, Windows 11 peut être utilisé comme authentificateur FIDO pour de nombreux services de gestion des identités populaires.

Clés d’accès

Windows 11 rend beaucoup plus difficile pour les pirates informatiques qui exploitent les mots de passe volés via des attaques par hameçonnage en permettant aux utilisateurs de remplacer les mots de passe par des clés d’accès. Les clés d’accès sont l’avenir multiplateforme de la connexion sécurisée. Microsoft et d’autres leaders technologiques prennent en charge les clés d’accès sur leurs plateformes et services.

Une clé d’accès est un secret de chiffrement unique et non autorisée qui est stocké en toute sécurité sur l’appareil. Au lieu d’utiliser un nom d’utilisateur et un mot de passe pour se connecter à un site web ou à une application, Windows 11 utilisateurs peuvent créer et utiliser une clé d’accès avec Windows Hello, un fournisseur de clé d’accès tiers, une clé de sécurité FIDO2 externe ou leur appareil mobile. Les clés d’accès sur Windows fonctionnent dans tous les navigateurs ou applications qui les prennent en charge pour la connexion.

Les clés d’accès créées et enregistrées avec Windows Hello sont protégées par Windows Hello ou Windows Hello Entreprise. Les utilisateurs peuvent se connecter au site ou à l’application à l’aide de leur visage, de leur empreinte digitale ou de leur code confidentiel d’appareil. Les utilisateurs peuvent gérer leurs clés d’accès à partir de Paramètres>Comptes>Clés d’accès.

Bientôt disponible^[7]

Le modèle de plug-in pour les fournisseurs de clés d’accès tiers permet aux utilisateurs de gérer leurs clés d’accès avec des gestionnaires de clés d’accès tiers. Ce modèle garantit une expérience de plateforme transparente, que les clés d’accès soient gérées directement par Windows ou par un authentificateur tiers. Lorsqu’un fournisseur de clés d’accès tiers est utilisé, les clés d’accès sont protégées et gérées en toute sécurité par le fournisseur tiers.

Pour en savoir plus

• Prise en charge des clés d’accès dans Windows
• Activer les clés d’accès (FIDO2) pour votre organization

Microsoft Authenticator

L’application Microsoft Authenticator, qui s’exécute sur les appareils iOS et Android, permet de garantir la sécurité et la productivité des utilisateurs Windows 11. Microsoft Authenticator avec des clés d’accès Microsoft Entra peut être utilisé comme méthode résistante aux hameçonnages pour bootstrap Windows Hello Entreprise.

Microsoft Authenticator permet également une connexion simple et sécurisée pour tous les comptes en ligne à l’aide de l’authentification multifacteur, de la connexion par téléphone sans mot de passe, de l’authentification résistante au hameçonnage (clé d’accès) ou du remplissage automatique du mot de passe. Les comptes dans l’application Authenticator sont sécurisés avec une paire de clés publique/privée dans un stockage matériel tel que le trousseau dans iOS et le magasin de clés sur Android. Les administrateurs informatiques peuvent utiliser différents outils pour inciter leurs utilisateurs à configurer l’application Authenticator, leur fournir un contexte supplémentaire sur l’origine de l’authentification et s’assurer qu’ils l’utilisent activement.

Les utilisateurs individuels peuvent sauvegarder leurs informations d’identification dans le cloud en activant l’option de sauvegarde chiffrée dans les paramètres. Ils peuvent également voir leur historique de connexion et leurs paramètres de sécurité pour les comptes personnels, professionnels ou scolaires Microsoft.

L’utilisation de cette application sécurisée pour l’authentification et l’autorisation permet aux utilisateurs de contrôler comment, où et quand leurs informations d’identification sont utilisées. Pour suivre un paysage de sécurité en constante évolution, l’application est constamment mise à jour et de nouvelles fonctionnalités sont ajoutées pour rester en avance sur les vecteurs de menaces émergents.

Pour en savoir plus

• Méthodes d’authentification dans Microsoft Entra ID - Application Microsoft Authenticator

Connexion web

Avec la prise en charge de la connexion web, les utilisateurs peuvent se connecter sans mot de passe à l’aide de l’application Microsoft Authenticator ou d’un passe d’accès temporaire (TAP). La connexion web permet également la connexion fédérée avec un fournisseur d’identité SAML-P.

Pour en savoir plus

• Connexion web pour Windows

Connexion fédérée

Windows 11 prend en charge la connexion fédérée avec les services de gestion des identités d’éducation externes. Pour les étudiants qui ne peuvent pas taper facilement ou mémoriser des mots de passe complexes, cette fonctionnalité permet une connexion sécurisée via des méthodes telles que des codes QR ou des images.

Pour en savoir plus

• Configurer la connexion fédérée pour les appareils Windows

Cartes à puce

Les organisations peuvent également opter pour les cartes à puce, une méthode d’authentification qui existait avant l’authentification biométrique. Ces périphériques de stockage portables et inviolables améliorent la sécurité Windows en authentifiant les utilisateurs, en signant du code, en sécurisant les e-mails et en se connectant avec des comptes de domaine Windows.

Les cartes à puce fournissent :

• Facilité d’utilisation dans des scénarios tels que les soins de santé, où les utilisateurs doivent se connecter et se déconnecter rapidement sans utiliser leurs mains ou lors du partage d’une station de travail
• Isolation des calculs critiques de sécurité qui impliquent l’authentification, les signatures numériques et l’échange de clés d’autres parties de l’ordinateur. Ces calculs sont effectués sur le carte intelligent
• Portabilité des informations d’identification et autres informations privées entre les ordinateurs au travail, à la maison ou sur la route

Les cartes à puce peuvent uniquement être utilisées pour se connecter à des comptes de domaine ou Microsoft Entra ID comptes.

Lorsqu’un mot de passe est utilisé pour se connecter à un compte de domaine, Windows utilise le protocole Kerberos version 5 (V5) pour l’authentification. Si vous utilisez une carte intelligente, le système d’exploitation utilise l’authentification Kerberos V5 avec des certificats X.509 V3. Sur Microsoft Entra ID appareils joints, une carte intelligente peut être utilisée avec Microsoft Entra ID’authentification basée sur un certificat. Les cartes à puce ne peuvent pas être utilisées avec des comptes locaux.

les clés de sécurité Windows Hello Entreprise et FIDO2 sont des méthodes modernes d’authentification à deux facteurs pour Windows. Les clients qui utilisent des cartes à puce virtuelles sont encouragés à passer à Windows Hello Entreprise ou FIDO2. Pour les nouvelles installations Windows, nous vous recommandons d’Windows Hello Entreprise ou de clés de sécurité FIDO2.

Pour en savoir plus

• Informations techniques de référence sur les cartes à puce

Protection améliorée contre le hameçonnage dans Microsoft Defender SmartScreen

À mesure que la protection contre les programmes malveillants et d’autres protections évoluent, les cybercriminels recherchent de nouvelles façons de contourner les mesures de sécurité. L’hameçonnage est une menace de premier plan, avec des applications et des sites web conçus pour voler des informations d’identification en incitant les utilisateurs à entrer volontairement des mots de passe. Par conséquent, de nombreuses organisations passent à la facilité et à la sécurité de la connexion sans mot de passe avec Windows Hello ou Windows Hello Entreprise.

Nous savons que les gens se trouvent dans différentes parties de leur parcours sans mot de passe. Pour aider les personnes qui utilisent encore des mots de passe, Windows 11 offre une protection puissante des informations d’identification. Microsoft Defender SmartScreen inclut désormais une protection renforcée contre le hameçonnage pour détecter automatiquement quand le mot de passe Microsoft d’un utilisateur est entré dans une application ou un site web. Windows identifie ensuite si l’application ou le site s’authentifie de manière sécurisée auprès de Microsoft et avertit si les informations d’identification sont menacées. Étant donné que l’utilisateur est averti au moment d’un vol potentiel d’informations d’identification, il peut effectuer une action préventive avant que le mot de passe ne soit utilisé contre lui ou contre son organization.

Pour en savoir plus

• Protection améliorée contre le hameçonnage dans Microsoft Defender SmartScreen