Dans un premier billet du blog Building Windows 8, le responsable de la sécurité et de l'identité Dustin Ingalls pose plusieurs postulats. Le premier est qu'un américain dispose en moyenne de 25 comptes utilisateur, auprès desquels il ne s'identifie qu'avec 6 mots de passe, plus ou moins complexes, faute de pouvoir retenir mieux. Le second est qu'aucun service n'a les mêmes exigences en terme de mot de passe (avec ou sans majuscule, caractère spécial, etc.), mais aussi et surtout qu'il existe d'autres méthodes d'identification plus efficaces.
Un gestionnaire de mots de passe
Partant de ce constat, Windows 8 proposera pour commencer un gestionnaire de mots de passe centralisé, comparable au trousseau de Mac OS ou aux utilitaires tiers 1Password et LastPass.
C'est donc à ce gestionnaire que reviendra la tâche d'enregistrer et de restituer les identifiants et mots de passe uniques d'autant de services en ligne que nécessaire, voire même d'en générer de complexes à l'inscription, sans même que l'utilisateur ne les connaisse. Internet Explorer 10 et une API pour les applications Metro pourront s'interfacer avec ce gestionnaire, mais à priori pas les applications traditionnelles.
L'utilisateur n'aura donc plus qu'un mot de passe à retenir, celui du gestionnaire, qui sera en fait rattaché au compte Windows Live ID, synchronisé entre ordinateurs et hautement sécurisé. Windows Live dispose pour rappel d'une fonction de mot de passe à usage unique pour les lieux publics et d'une procédure de récupération de mot de passe à double authentification.
Le mot de passe image comme principale alternative
L'utilisateur pourra d'autant plus choisir un mot de passe complexe pour son compte Windows Live ID qu'il ne devrait le saisir plus que rarement. Windows 8 devrait effectivement démocratiser l'utilisation d'autres méthodes d'authentification que le mot de passe.
À commencer par le « mot de passe image » (« picture password), détaillé par Microsoft dans un second billet du blog de l'équipe de développement.
Il n'est pas question cette fois de s'authentifier par reconnaissance de visage, une méthode controversée proposée par Android 4.0, mais de reproduire une séquence de mouvements secrets sur l'image personnalisée de l'écran de verrouillage.
En combinant lignes, cercles et points et en prenant en compte le sens et l'ordre de leur tracé, cette méthode offre un très grand nombre de combinaisons possibles en quelques mouvements seulement. Il y a trois fois plus de combinaisons avec quatre mouvements qu'avec un mot de passe complexe de 8 caractères, dont la saisie prend plus de 30 secondes sur un clavier tactile.
Et Microsoft de démontrer d'un exercice de statistiques que les traces de doigt sur un écran propre réduiraient dans des proportions raisonnables le nombre de combinaisons. Il sera en revanche plus facile de mémoriser les mouvements qu'avec une saisie rapide au clavier, quand bien même il serait virtuel, le mot de passe image ne sera donc qu'une alternative au mot de passe traditionnel, qui restera accessible d'un clic.
Pour l'entreprise, Windows 8 démocratisera enfin l'utilisation de la méthode de la clé privée/clé publique, et celle de la carte à puce, en inaugurant notamment une fonction de carte à puce virtuelle reposant sur un nouveau Key Storage Provider et sur la puce TPM.