Si vous disposez d’un compte Microsoft qui utilise SMS pour l’authentification à deux facteurs, vous devrez peut-être bientôt choisir une méthode de connexion plus sécurisée. Comme le rapporte Windows Latest, la société abandonne les codes d’authentification textuels pour les comptes personnels, déclarant qu’ils constituent « désormais une source majeure de fraude ». Les utilisateurs seront invités à configurer un mot de passe à la place.
Microsoft essaie d’éliminer les mots de passe
Microsoft a déjà commencé à évoluer vers un environnement sans mot de passe : l’année dernière, la société a fait des mots de passe la valeur par défaut sur les nouveaux comptes lors de la configuration. Désormais, il supprime progressivement les codes SMS pour 2FA et la récupération de compte au profit de mots de passe, d’applications d’authentification et d’adresses e-mail de sauvegarde vérifiées.
Les codes SMS sont rapides à configurer et pratiques à utiliser. Cependant, ils font également partie des formes d’authentification multifacteur (MFA) les moins sécurisées, car ils sont très sensibles aux attaques de phishing et d’échange de carte SIM. Les applications d’authentification (qui génèrent des codes temporaires qui changent toutes les 30 secondes) sont peut-être légèrement meilleures, mais la meilleure option MFA est celle basée sur les informations d’identification WebAuthn, comme la biométrie et les mots de passe.
Les clés d’accès utilisent l’authentification intégrée de votre appareil, telle qu’une analyse faciale, une analyse d’empreintes digitales ou un code PIN. Ils peuvent également être synchronisés sur tous les appareils via les services de gestion de mots de passe. Une fois que vous avez établi votre mot de passe, vous pouvez authentifier les connexions n’importe où en utilisant l’une de ces méthodes sur votre appareil de confiance. Les clés d’accès ne peuvent pas être hameçonnées ou volées, et elles ne fonctionnent que sur le domaine légitime pour lequel elles sont conçues (elles ne vous demanderont donc pas de vous authentifier si vous essayez de vous connecter à un site usurpé). Ils exigent également que votre appareil de confiance soit physiquement proche de l’appareil sur lequel vous vous connectez, afin qu’ils ne puissent pas être utilisés pour accéder à vos comptes à distance.
Bien qu’il ne semble pas y avoir de date fixe pour suspendre l’authentification par SMS, les utilisateurs de Microsoft devraient s’attendre à effectuer bientôt cette transition vers une méthode alternative.
