Mot de passe local ou PIN Windows Hello : lequel est le plus sécurisé ? Comparatif, risques et recommandations

Vous êtes passé à un compte local et hésitez entre conserver votre mot de passe ou votre PIN Windows Hello ? Ce guide détaille, sans jargon inutile, lequel est le plus sûr selon vos usages et comment le configurer correctement.

Sommaire

Synthèse de la question

Après la migration d’un compte Microsoft vers un compte local, deux moyens d’ouverture de session coexistent sur le même PC :

le mot de passe du compte local ;
l’ancien PIN Windows Hello (lié à l’appareil).

Faut‑il garder les deux ? Quel est le plus sécurisé ? La réponse dépend du type de risques que vous voulez réduire (vol physique, accès hors ligne au disque, attaques à distance, confort de déverrouillage).

Réponse courte et exploitable

Pour un compte local, un mot de passe long et unique reste le secret le plus robuste sur le plan cryptographique. Un PIN Windows Hello bien configuré (alphanumérique, longueur > 6) est toutefois très sûr et plus pratique, car il est lié au matériel et protégé par le TPM, ce qui bloque l’énumération. En pratique :

Si vous privilégiez la simplicité maximale : gardez uniquement un mot de passe fort et supprimez le PIN.
Si vous valorisez vitesse + anti‑brute‑force matériel : gardez PIN + mot de passe, avec le PIN comme méthode principale et le mot de passe en secours (mode sans échec, RDP, dépannage).

Comparatif clair : mot de passe local vs PIN Windows Hello

Option	Spécificité	Avantages	Limites
Mot de passe du compte local	Identique pour toutes les sessions locales de la machine	• Longueur et complexité flexibles (phrases de passe) • Fonctionne en mode sans échec et dans plus de cas de récupération • Utilisable pour RDP/partages (là où le PIN ne s’applique pas)	• Saisie en clair au clavier (risque d’observation) • Hors ligne, si le disque n’est pas chiffré, le hash peut être extrait et attaqué • Pas de verrouillage matériel natif contre l’énumération
PIN Windows Hello	Stocké et validé via le TPM, lié exclusivement à l’appareil	• Inutilisable à distance : ne quitte pas le PC • Anti‑énumération matériel : le TPM se verrouille après plusieurs essais • Peut devenir multifactoriel (empreinte, visage) ; rapide et pratique	• Limité par défaut à 4‑127 caractères (numériques ou alphanumériques) • Indisponible en mode sans échec (Windows réclame le mot de passe) • Non utilisable pour RDP/SMB ; le mot de passe reste nécessaire en arrière‑plan

Comment ça marche (sans langue de bois)

Mot de passe local

Stocké localement sous forme de hash (non en clair). Un attaquant ayant un accès hors ligne au disque non chiffré peut extraire la base de comptes et tenter de casser le hash.
Force brute/dictionnaire : l’adversaire peut tester autant d’essais qu’il veut hors ligne s’il possède une copie du disque non chiffré.
Atout majeur : fonctionne même lorsque Windows désactive les méthodes Hello (mode sans échec, dépannage).

PIN Windows Hello

Le PIN est un geste local qui déverrouille des clés protégées par le TPM. Il n’est pas synchronisé ni transmis au réseau.
En cas de vol, l’attaquant ne peut pas bruteforcer le PIN à l’infini : anti‑martelage matériel, délais croissants, verrouillage du TPM.
Le PIN reste un secret : choisissez‑le long/complexe si vous le gardez.

Quel risque voulez‑vous réduire ? (modèle de menaces)

Vol physique du PC : chiffrez le disque (BitLocker). Le PIN Hello ajoute du verrouillage anti‑énumération au niveau du poste.
Accès hors ligne au disque : sans chiffrement, le hash du mot de passe peut être attaqué. Avec BitLocker, ce vecteur s’effondre.
Attaques à distance : le PIN Hello ne s’applique pas. Protégez les services exposés (RDP, SMB) par mot de passe fort, pare‑feu et MFA là où c’est possible.
Observation à l’épaule / keylogger : biométrie + PIN court réduit la saisie visible, mais un keylogger matériel capture tout. D’où l’intérêt d’un poste maîtrisé.

Scénarios concrets : qui gagne, et que faire ?

Scénario d’attaque	Impact si mot de passe seul	Impact si PIN Hello seul	Mesures prioritaires
Vol du PC éteint, disque non chiffré	Hash récupérable et attaquable hors ligne	Les clés Hello sont liées au TPM ; extraction inutilisable	Activer BitLocker immédiatement
Vol du PC allumé ou sortie de veille	Dépend du verrouillage de session	Le TPM limite les essais de PIN	Raccourcir le délai de verrouillage auto, exiger réauthentification
Connexion RDP depuis le réseau local	Possible si service activé et mot de passe faible	Le PIN n’est pas utilisable pour RDP	Désactiver RDP si inutile, sinon mot de passe fort + pare‑feu
Dépannage en mode sans échec	OK : le mot de passe fonctionne	PIN/biométrie désactivés	Toujours conserver un mot de passe fort mémorisé/stocké en coffre
Phishing à distance	Peut réussir si mot de passe réutilisé ailleurs	PIN inutilisable à distance	Ne jamais réutiliser le mot de passe, coffre de mots de passe

Entropie : chiffres utiles (théoriques)

La force brute « mathématique » indique la taille de l’espace de recherche (hors listes de mots). À titre indicatif :

Secret	Espace théorique	Commentaires
PIN 4 chiffres	10 000 combinaisons	Acceptable grâce au verrouillage TPM, mais trop court seul
PIN 6 chiffres	1 000 000	Souvent suffisant avec TPM, surtout si BitLocker actif
PIN 8 chiffres	100 000 000	Espace déjà large + anti‑énumération matériel
PIN 6 alphanumérique	≈ 62⁶ ≈ 56,8 milliards	Très solide, et anti‑énumération renforce encore
Phrase de passe 4 mots	Selon dictionnaire (ex. 2 048⁴)	Facile à mémoriser, robustesse élevée si mots aléatoires

Important : le TPM impose un verrouillage après plusieurs essais, ce qui rend la force brute en ligne impraticable sur un PIN Hello. À l’inverse, un mot de passe peut être attaqué hors ligne si le disque n’est pas chiffré.

Recommandation pratique (compte local)

Décider de l’un ou des deux
- Un seul secret : choisissez un mot de passe long (12‑16 caractères minimum, idéalement phrase de passe), supprimez le PIN si vous n’avez pas besoin d’un déverrouillage rapide.
- Deux méthodes (recommandé pour confort) : gardez PIN Hello en principal (alphanumérique > 6), et conservez un mot de passe fort pour les cas d’exception (mode sans échec, RDP).
Activer/contrôler BitLocker sur le disque système pour neutraliser les attaques hors ligne.
Réduire la surface d’attaque : désactiver RDP si inutile, exiger la réauthentification au réveil, verrouillage automatique court.
Éviter la réutilisation : le mot de passe local ne doit pas être réutilisé ailleurs.

Pas‑à‑pas : réglages utiles sous Windows 11 (valable en grande partie sous Windows 10)

Supprimer le PIN Windows Hello

Ouvrez Paramètres > Comptes > Options de connexion.
Choisissez PIN (Windows Hello) > Supprimer, puis confirmez avec votre mot de passe.

Renforcer le PIN (si vous le conservez)

Paramètres > Comptes > Options de connexion > PIN > Modifier.
Cochez « Inclure des lettres et des symboles » et visez > 6 caractères.

Avancé (Windows Pro/Entreprise) : via l’Éditeur de stratégie de groupe (gpedit.msc) : Configuration ordinateur > Modèles d’administration > Système > Complexité du code confidentiel (PIN) pour imposer longueur minimale, chiffres, lettres, etc.

Activer BitLocker (disque système)

Rechercher Gérer BitLocker > Activer BitLocker.
Enregistrez la clé de récupération dans un coffre ou imprimée.
Laissez le chiffrement s’exécuter jusqu’à 100 %.

Note : le PIN Windows Hello (post‑démarrage) n’a rien à voir avec le PIN de démarrage BitLocker (pré‑démarrage). Vous pouvez, pour un niveau très élevé, utiliser BitLocker en mode TPM + PIN au démarrage, mais cela ajoute une saisie supplémentaire avant même que Windows ne démarre.

Sécuriser la reprise et la mise en veille

Paramètres > Comptes > Options de connexion > Exiger la connexion : à chaque sortie de veille.
Paramètres > Système > Alimentation & batterie : délais d’extinction/veille courts (ex. 5–10 min inactif).

Limiter l’exposition réseau

Si RDP n’est pas utile, désactivez‑le : Paramètres > Système > Accès à distance (ou « Bureau à distance ») : Désactivé.
Si RDP est nécessaire, mot de passe fort obligatoire, pare‑feu actif, et jamais d’exposition directe à Internet sans tunnel/VPN.

Faut‑il garder les deux méthodes ?

Conserver PIN + mot de passe a deux effets :

Positif : meilleure ergonomie et verrouillage matériel des essais (via TPM) pour l’usage quotidien.
Négatif : deux surfaces d’entrée (deux secrets potentiels). Cela reste acceptable si BitLocker est activé et si votre mot de passe est long/unique.

N’en garder qu’un (mot de passe) simplifie l’attaque de surface et suffit lorsque :

vous n’avez pas besoin d’un déverrouillage rapide ;
vous chiffrez le disque et vous ne faites pas de RDP ;
vous privilégiez des procédures de récupération (mode sans échec) sans dépendre de Hello.

Bonnes pratiques de configuration

Mot de passe : phrase de passe (4–5 mots aléatoires) ou ≥ 14 caractères avec mélange de classes. Stockez‑le dans un coffre (gestionnaire de mots de passe).
PIN Hello : alphanumérique, ≥ 6 caractères, évitez dates/repères personnels.
Biométrie : ajoutez empreinte/visage pour limiter la saisie en public, mais conservez le PIN comme secret de secours.
BitLocker : toujours activé sur le disque système ; sauvegardez la clé.
Recovery : gardez un compte administrateur de secours (mot de passe connu), et une clé USB de récupération.

Mythes et réalités

« Un PIN est toujours moins sûr qu’un mot de passe » : faux. À longueur égale, le PIN en ligne profite du verrouillage TPM. Et s’il est alphanumérique, il rivalise facilement.
« Le PIN est stocké en clair » : faux. Il sert à déverrouiller des clés protégées par le TPM ; il n’est ni synchronisé ni envoyé sur le réseau.
« Je n’ai pas besoin de BitLocker si j’ai un PIN » : faux. Le chiffrement du disque protège contre l’extraction hors ligne, ce que le PIN seul ne couvre pas.
« Le PIN suffit pour RDP » : faux. Le PIN Hello ne s’applique pas aux connexions réseau ; le mot de passe reste requis.

FAQ (questions courantes)

Le PIN fonctionne‑t‑il en mode sans échec ?

Non. En mode sans échec, Windows désactive Windows Hello ; il vous demandera le mot de passe du compte. D’où l’intérêt de conserver un mot de passe fort, même si vous utilisez un PIN au quotidien.

Mon PC n’a pas de TPM : puis‑je utiliser le PIN Hello ?

Windows Hello privilégie le TPM pour la sécurité. Sans TPM, certaines protections (anti‑énumération matériel) disparaissent. Mieux vaut disposer d’un TPM (matériel ou firmware) pour bénéficier pleinement de Hello.

Puis‑je mettre des lettres et symboles dans le PIN ?

Oui. Lors de la modification/création du PIN, cochez « Inclure des lettres et des symboles ». Vous obtenez un PIN alphanumérique, bien plus robuste.

Que se passe‑t‑il si j’oublie le PIN ?

Vous pourrez toujours vous connecter avec le mot de passe et réinitialiser le PIN depuis les options de connexion.

Le mot de passe local peut‑il être attaqué hors ligne ?

Oui, si le disque n’est pas chiffré. Activez BitLocker pour neutraliser ce vecteur.

Checklist minute (copier‑coller)

✅ BitLocker activé sur le disque système.
✅ Mot de passe local long et unique (stocké dans un coffre).
✅ RDP désactivé si inutile (sinon durci).
✅ Exiger la connexion au réveil + verrouillage auto court.
✅ PIN Hello alphanumérique > 6 si conservé.
✅ Clé de récupération BitLocker sauvegardée.

Arbre de décision rapide

Votre priorité	Choix recommandé	Pourquoi
Moins de secrets à gérer	Mot de passe seul	Une seule méthode, fonctionne partout (y compris sans échec)
Ouverture rapide + anti‑énumération	PIN Hello + mot de passe de secours	TPM verrouille les essais, biométrie possible, confort accru
PC portable souvent déplacé	BitLocker + PIN Hello	Protège en cas de vol, réduit l’exposition aux regards
Usage RDP régulier	Mot de passe fort obligatoire	Le PIN Hello ne s’applique pas aux connexions réseau

Exemples de configurations recommandées

Profil « Famille » (simplicité et sécurité équilibrées)

BitLocker activé, clé sauvegardée.
Mot de passe : phrase de passe de 4–5 mots aléatoires.
PIN Hello alphanumérique de 6–8 caractères + empreinte si disponible.
RDP désactivé.

Profil « Nomade » (PC portable, déplacements fréquents)

BitLocker activé (TPM seul ou TPM + PIN de pré‑démarrage si haut niveau requis).
PIN Hello alphanumérique ≥ 8, biométrie activée.
Verrouillage automatique après 5 min d’inactivité.
Mot de passe fort conservé pour les scénarios de secours.

Profil « Bureau » (environnement maîtrisé)

BitLocker activé.
Mot de passe fort ; PIN Hello optionnel selon la politique interne.
RDP limité aux administrateurs, pare‑feu restreint, pas d’exposition Internet.

Commandes et emplacements utiles

Vérifier BitLocker en ligne de commande

manage-bde -status
manage-bde -protectors -get C:

Stratégies de mot de passe (Pro/Entreprise)

gpedit.msc
Configuration ordinateur → Paramètres Windows → Paramètres de sécurité → Stratégies de compte → Stratégie de mot de passe

Complexité du PIN (Pro/Entreprise)

gpedit.msc
Configuration ordinateur → Modèles d’administration → Système → Complexité du code confidentiel (PIN)

Résumé à emporter

Le mot de passe long et unique demeure la base et couvre les cas limites (sans échec, RDP).
Le PIN Hello est excellente méthode principale sur un poste personnel : plus rapide et protégé par le TPM.
Le chiffrement BitLocker est non négociable pour neutraliser les attaques hors ligne.
Garder les deux est pertinent si vous voulez confort + résilience ; sinon, un mot de passe robuste suffit.

Conclusion opérationnelle

Pour un compte local, vous ne gagnez pas de sécurité « réseau » en remplaçant le mot de passe par un PIN ; en revanche, vous gagnez en ergonomie et en anti‑brute‑force côté appareil grâce au TPM. La combinaison gagnante pour la plupart : BitLocker activé, mot de passe long conservé, PIN Hello alphanumérique pour le quotidien, et une hygiène de base (verrouillage auto, RDP maîtrisé). Si vous préférez la sobriété absolue, un mot de passe robuste unique, sans PIN, reste un choix solide.