Il est de notoriété publique que les mots de passe ne sont pas suffisamment forts en eux-mêmes et la recommandation actuelle est de les éviter ou d’ajouter une couche de sécurité supplémentaire avec 2FA ou MFA.

Sur l’écosystème Windows, c’est plus compliqué car les technologies sous-jacentes (NTLM / Kerberos) n’ont pas beaucoup évolué au cours de la dernière décennie : techniquement, vous ne pouvez effectuer l’authentification qu’avec un mot de passe ou un certificat. Toute solution complémentaire ne fait qu’ajouter une couche/un processus par dessus pour fournir un tel sésame, mais de tels mécanismes demeurent et sont même largement utilisés en coulisses.

Si vous utilisez un système d’authentification (via un nouveau Credential Provider comme point de terminaison d’authentification) pour ouvrir votre session Windows sans configurer de PKI ou saisir le mot de passe à chaque fois que vous souhaitez vous connecter, alors vous êtes probablement dupé car cela signifie que vos secrets sont mis en cache quelque part. Tout le reste n’est que commodité et marketing.

Forcément, c’est ce que nous faisons également avec Leosac Desktop Authentication afin d’utiliser votre carte RFID/NFC pour l’ouverture de sessions Windows. Avant tout, c’est une solution de praticité. Elle est également considérée comme une solution de sécurité dans certains cas car elle améliore la sécurité globale en raison des contraintes du client dans son environnement spécifique. C’est même une solution robuste pour de l’identification pure et du 2FA. Mais si vous cherchez à vous débarrasser vraiment des mots de passe, pour quelque chose d’aussi sécurisé que la PKI, et que vous avez l’infrastructure et le budget, alors, eh bien, utilisez PKI… Voyez plutôt ce type de solution comme un intermédiaire, à un coût bien plus faible.