samedi 3 mars 2012

Microsoft et l’authentification par SMS (suite et fin)

Comme précédemment dit dans l’article “Microsoft et l’authentification par SMS!”, cette nouvelle méthode d’authentification apporte un nouveau facteur d’authentification qui est “ce que je possède”, le téléphone, me permettant de recevoir un mot de passe à usage unique pour m’authentifier sur mon compte Windows Live.

Voici la marche à suivre:

  • Se connecter sur Hotmail en utilisant votre passeport Microsoft puis aller dans la section “Votre Compte

ScreenShot001

  • Puis sélectionner “Sécurité du compte / Infos de sécurité / Gérer

ScreenShot002

  • Saisir votre numéro de téléphone mobile, cliquer sur “Enregistrer” puis sur “Terminé

ScreenShot003

Vous pouvez maintenant tester cette nouvelle méthode d’authentification.

  • Aller sur la page de connexion à Hotmail et cliquer sur “Obtenir un code à usage unique pour se connecter avec

ScreenShot004

  • Cliquer sur “Obtenez-en un ici” si vous ne possédez pas de code

ScreenShot005

  • Saisir votre identifiant “Windows Live ID” ainsi que votre numéro de téléphone mobile (celui que vous avez renseigné dans la phase d’enregistrement) et cliquer sur “Envoyer un SMS

ScreenShot008

  • Une fois le SMS reçu, vous pouvez utiliser le code fourni pour vous authentifier

ScreenShot009

Ca marche!

L'avantage de cette solution est que l'utilisateur a la possibilité de choisir le mode d'authentification qu'il souhaite utiliser en fonction de l'endroit où il se trouve: dans un endroit sûr, à la maison via un réseau câblé, ou dans un endroit qui ne l’est pas, à l’hôtel via le réseau Wifi gratuit.

Bravo Microsoft!

Pour rappel, voir l'article sur Google Authenticator (voir Quand Google se met à l’authentification forte…) qui lui, à la différence de Microsoft, ajoute un deuxième facteur d'authentification (l’utilisateur saisit son login, son mot de passe et son code à usage unique généré par l’application mobile). Dans ce case l'utilisateur n'a pas le choix d'adapter la méthode d'authentification en fonction du risque qu'il croit encourir.

Pour finir, la solution de Microsoft nécessite une couverture GSM, pas celle de Google qui utilise une application fonctionnant sur le téléphone.

Je suis personnellement agréablement surpris par la solution de Microsoft.

2 commentaires:

  1. Bonjour, l'article date un peu, mais il est toujours d'actualité et je me permets de poster ce commentaire. Je possède un compte hotmail et gmail, j'utilise mon compte gmail sur un Smartphone et plus généralement mon compte hotmail sur PC pour des correspondances et démarches officielle. Je me suis fait la réflexion suivante, il serait extrêmement simple de se procurer un accès au compte hotmail à partir d'un téléphone perdu ou "emprunté" d'autant plus si celui possède un carnet d'adresse bien complété où figure l'adresse hotmail, ou bien d'autres informations qui permettent d'identifier les adresses mail du joyeux propriétaire de l'appareil emprunté. Non ? Sécurisé hotmail ? Mouais, perdre son téléphone c'est aussi donner l'accès à son compte hotmail même si le pass du compte ne figure pas sur le même téléphone.

    RépondreSupprimer
    Réponses
    1. Bonsoir,
      C'est effectivement une bonne remarque, le téléphone devient le maillon faible. Emprunter ou voler le téléphone d'une personne est un moyen d'obtenir de nombreuses informations, dont probablement l'accès à ses mails.
      C'est pour cela qu'une authentification basée sur un mot de passe (ce que je connais) et sur un OTP généré par un téléphone (ce que je possède) apporte plus de sécurité. Car en plus de voler le téléphone il faut également connaître le mot de passe.
      Cette solution augmente la sécurité (qui n'est jamais absolue) si le risque l'exige.
      Bien cordialement,
      Philippe

      Supprimer

Partager avec...