Microsoft a commencé à activer dans Windows le support avec des mots de passe pour Microsoft Entering, un mouvement qui rapproche le monde des entreprises de l'authentification sans mot de passe et résistant au phishing. En général, la nouveauté permet aux utilisateurs de créer des identifiants liés à l'appareil dans le conteneur Windows Hello et d'utiliser les mécanismes biométriques ou le NIP Windows Hello pour se connecter aux ressources protégées par Enter.
C'est une fonctionnalité optionnelle que Microsoft mettra en avant publique entre mi-mars et fin avril 2026 pour les locataires dans le monde, avec des nuages gouvernementaux (GCC, GCC High et DoD) recevant la même capacité dans une fenêtre un peu plus tard, de la mi-avril à la mi-mai. L'entreprise détaille l'annonce dans le centre de message de Microsoft 365, où elle explique comment le déploiement fonctionnera et quelles mesures les gestionnaires devraient prendre pour l'activer: message dans Microsoft 365.
Ce qui rend cette implémentation pertinente pour de nombreuses organisations est l'extension de l'authentification sans mot de passe aux appareils Windows qui ne sont pas liés ou enregistrés dans Entre. Jusqu'à présent, des scénarios avec des équipements personnels ou partagés utilisés pour re-rely sur les mots de passe; avec des mots de passe sur Windows, ces appareils peuvent être authentifiés sans transmettre de mot de passe, en utilisant plutôt une clé cryptographique générée localement par Windows Hello.
Du point de vue technique, la clé privée ne quitte jamais l'appareil. Le processus suit les principes de la norme FIDO2 : lors de l'enregistrement, quelques clés sont générées, le public est enregistré dans le service et le privé est stocké en toute sécurité dans le conteneur Windows Hello. Pour s'authentifier, le service défie l'appareil et la réponse signée prouve la possession de la clé privée, sans qu'elle soit transmise par le réseau. Cette architecture rend les attaques d'hameçonnage et les identificateurs de vol difficiles parce qu'il n'y a pas de mot de passe traditionnel pour copier ou intercepter. Pour ceux qui veulent approfondir ces principes, le consortium FIDO explique la base technique: FIDO Alliance.
Microsoft insiste également sur la façon dont le modèle multi-compte et multi-appareils seront gérés. Chaque compte d'entrée doit enregistrer sa propre clé de passe sur chaque ordinateur : plusieurs comptes peuvent coexister sur la même machine, mais le mot de passe n'est pas synchronisé entre les appareils, donc si un utilisateur veut entrer sans mot de passe d'un autre PC, il devra également enregistrer la clé de passe sur cet ordinateur. Cette limitation présente des avantages et des inconvénients: d'une part, elle améliore l'isolement et réduit l'impact d'un écart dans un autre dispositif; d'autre part, elle implique davantage d'étapes d'enregistrement si une personne utilise de nombreux équipements.
Pour qu'une organisation participe à l'aperçu public, les administrateurs devraient activer la méthode d'authentification des mots de passe (FIDO2) dans les politiques d'authentification des méthodes Enin, créer un profil de mots de passe qui inclut les AAGUID (identificateurs qui permettent à Entre de reconnaître des implémentations spécifiques de Windows Hello) et attribuer ce profil aux groupes d'utilisateurs concernés. Dans la documentation officielle de Microsoft pour les développeurs et les administrateurs il y a des guides pour configurer des mots de passe à Azure / Entrée qui vous aident à comprendre les exigences et les meilleures pratiques: Documentation des Passkeys dans Microsoft Enter. Si ce sont les intérêts de Windows qui gèrent les identifiants et Windows Hello, Microsoft garde du matériel de référence sur cette pile dans sa documentation Windows Hello et Hello for Business: Fenêtres Bonjour (Microsoft).
Cette annonce s'inscrit dans une tendance plus large : Microsoft conduit des mouvements vers un écosystème sans mot de passe depuis longtemps. Au cours des dernières années, il a introduit le support des mots de passe dans les comptes personnels et ajouté un gestionnaire de mots de passe intégré dans Windows Hello avec les mises à jour de Windows 11. En outre, la société a confirmé son intention de faire des nouveaux comptes de Microsoft "sans mot de passe par défaut," une stratégie conçue pour réduire l'exposition à l'hameçonnage, la force brute ou les attaques de rembourrage crédental.
Pour les entreprises, l'arrivée de mots de passe dans Windows ouvre des possibilités de renforcer la sécurité avec une expérience utilisateur plus fluide, mais aussi soulève des décisions de gestion. Activer l'aperçu nécessite une coordination entre les équipes d'identité, de support et de sécurité pour définir quels utilisateurs et groupes testeront la fonction, comment surveiller l'adoption et comment traiter les scénarios de récupération ou de perte d'accès lorsque le justificatif est lié à un appareil. L'interopérabilité avec d'autres fournisseurs d'identité et les dispositifs sans Windows devrait également être évaluée si le modèle est hétérogène.
En termes de facilité d'utilisation, l'utilisation du visage, de l'impression ou du NIP pour remplacer un mot de passe peut réduire le frottement et, en même temps, accroître la sécurité, car la vérification locale est basée sur un matériel sûr et des éléments biométriques ou des secrets qui ne sont pas transmis. Mais ce n'est pas une balle d'argent: les organisations devraient compléter le déploiement de mots de passe par des politiques claires sur la gestion des appareils, la protection des logiciels malveillants et les processus de récupération de compte pour les utilisateurs qui changent d'équipement ou perdent l'accès à leur appareil habituel.
L'arrivée de mots de passe à Microsoft entre dans Windows représente une étape importante vers des environnements d'entreprise moins dépendants des mots de passe et plus résistants à l'hameçonnage. Pour les équipes informatiques, il s'agit d'une invitation à concevoir des essais pilotes pendant l'aperçu et à préparer la gouvernance nécessaire ; pour les utilisateurs finaux, il peut s'agir d'une expérience de connexion plus rapide et, dans de nombreux cas, plus sûre. Ceux qui veulent rechercher plus sur les fondements techniques et les normes derrière ce pari peuvent consulter les ressources de Microsoft et l'écosystème FIDO mentionné ci-dessus.
Si vous voulez que je vous guide avec un plan de test pour mettre en œuvre l'aperçu dans votre organisation (quels groupes commencer, indicateurs à mesurer et comment documenter les problèmes), dites-moi et préparez un schéma pratique et adapté à votre environnement.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...