Qu’est ce code PIN qui est proposé à la place du mot de passe sur les PC ?
Déjà, c’est le cauchemar des services de support téléphonique car on ne sait jamais si l’utilisateur est devant la mire de mot de passe ou de PIN, lui-même ne comprenant pas pourquoi il y a 2 façons de s’identifier…
L’idée de Microsoft est simple : vous avez un compte Microsoft qui vous permet de vous connecter à vos services en ligne. Ce compte Microsoft DOIT avoir un mot de passe complexe pour être correctement protégé. Mais c’est ce compte que vous utilisez pour vous connecter sur votre PC et que vous devez donc taper souvent.
Qu’à cela ne tienne, Microsoft vous propose de mettre en place un code PIN (une série numérique à 4 chiffres par défaut) vous permettant de vous connecter à votre PC simplement.
OUI MAIS… votre PC est aujourd’hui, la plupart du temps, portable. Vous le baladez dans le train, en vacances, dans des espaces de coworking, etc. Et ce code à 4 chiffres est vraiment facile à visualiser par dessus votre épaule…
Et une personne qui vous emprunte votre PC et a accès à votre compte, a généralement accès à vos emails, peut aller créer des comptes et des fausses identités, peut faire des récupérations de mot de passe pour se connecter à vos multiples sites « sans danger », peut faire des achats avec la carte bleue qui est enregistrée dans votre navigateur, etc.
Je ne parle pas ici d’une personne qui vous cible particulièrement, je vous recommande juste de ne pas sous-estimer ce que peut faire une personne avide avec votre ordinateur connecté.
Conclusion de bonnes pratiques simples :
- pas de PIN à 4 chiffres (ni sur votre iPhone, d’ailleurs). Et pas non plus à 6 chiffres, le moindre apprenti mentaliste sait visualiser 6 chiffres que vous tapez.
- préférez la biométrie pour vous identifier facilement (empreinte digitale ou image caméra)
- verrouillez systématiquement votre ordinateur lorsque vous le laissez seul, même 2 minutes (sur Windows : WINDOWS+L, sur Mac : SHIFT+COMMAND+POWER)
Et à l’attention des services informatiques, il est absolument nécessaire de disposer d’un moyen centralisé pour verrouiller la session utilisateur et effacer l’ordinateur à distance lors de sa perte ou de son vol.