L’initiative s’inscrit dans la stratégie de Microsoft pour renforcer la sécurité tout en simplifiant l’expérience utilisateur. Les clés d’authentification, qui peuvent être liées à un appareil ou synchronisées entre plusieurs dispositifs, sont conçues pour remplacer les mots de passe traditionnels, souvent vulnérables aux attaques par hameçonnage.
En effet, alors que de plus en plus d’utilisateurs adoptent l’authentification multifacteur (MFA), les attaquants ont davantage recours aux attaques de type « Adversary-in-the-Middle » (AitM) par hameçonnage et ingénierie sociale, qui incitent les gens à révéler leurs informations d’identification. Il s’agit pour l’éditeur de proposer une méthode qui utilise des clés d’authentification, matérielles ou numériques, distribuées par des fournisseurs tiers,
au lieu de mots de passe.
Une administration centralisée des clés FIDO2
Entra ID supporte déjà la signature à l’aide d’une clé de sécurité hébergée sur une clé de sécurité matérielle. Microsoft y ajoute un support additionnel pour les clés de sécurité.Plus précisément, la prise en charge des clés de sécurité liées à l’appareil dans l’application Microsoft Authenticator sur iOS et Android est ajoutée pour les clients ayant les exigences de sécurité les plus strictes.
Avec les améliorations apportées à ses API pour le provisionnement de clés de sécurité FIDO2, les administrateurs peuvent à présent demander des options de création de WebAuthn à Entra ID et utiliser les données renvoyées pour créer et enregistrer des clés de sécurité au nom d’un utilisateur.
En pratique, ces API permettent aux administrateurs de gérer les clés d’authentification pour les utilisateurs de manière centralisée. Les utilisateurs peuvent inscrire leurs clés FIDO2 via un processus d’inscription, qui implique généralement de connecter la clé à un appareil et de suivre les instructions pour l’enregistrer avec le service Entra ID. Une fois la clé FIDO2 enregistrée, les utilisateurs peuvent se connecter à leurs comptes Entra ID sans avoir besoin de saisir un mot de passe.
Ils insèrent simplement la clé dans leur appareil et effectuent une action d’authentification, comme appuyer sur un bouton de la clé. Les clés FIDO2 peuvent également être utilisées comme un facteur supplémentaire dans un processus d’authentification multifactorielle, augmentant ainsi la sécurité.
Les administrateurs peuvent gérer les clés FIDO2 via le portail d’administration Entra ID. Cela inclut l’ajout, la suppression et la révocation des clés. Ils peuvent également définir des politiques de sécurité pour contrôler l’utilisation des clés FIDO2, comme exiger l’utilisation de clés pour certains groupes d’utilisateurs ou dans certaines conditions.