Le guide complet sur le mot de passe à usage unique (OTP)

Les organisations qui n’ont ni le temps ni les ressources pour éradiquer complètement les noms d’utilisateur et les mots de passe savent que les identifiants compromis peuvent être utilisés pour réaliser des attaques frauduleuses et des failles de données. Parvenir à une authentification multifacteur (MFA) en complétant un nom d’utilisateur et un mot de passe avec un autre facteur d’authentification, peut être réalisé avec un mot de passe à usage unique (OTP). Selon Microsoft, l’authentification multifacteur peut « empêcher 99,9 % des attaques ciblant vos comptes ».

L’acronyme OTP signifie « one-time password » et « one-time passcode », à savoir mot et code à usage unique, cette séquence de caractères étant générée automatiquement et validant une seule session de connexion ou une seule transaction. L’OTP peut correspondre à des lettres et/ou des nombres envoyés par SMS, email ou sous la forme d’un message vocal, dans le cadre du processus d’authentification multifacteur. Les OTP peuvent également être envoyés sous la forme de notifications en push vers les applis mobiles personnalisées des entreprises ou une appli d’authentification tierce, comme Google Authenticator, peut également être utilisée. 

Un algorithme est utilisé pour créer un nouveau code aléatoire chaque fois qu’un mot de passe est requis. Voici quelques exemples de la manière dont un utilisateur peut recevoir l’OTP.

Les mots de passe à usage unique et à durée limitée (TOTP) utilisent la durée comme facteur de déplacement et les mots de passe expirent typiquement au bout de 30 à 240 secondes. Le mot de passe temporaire est généré par un algorithme qui utilise l’heure actuelle de la journée comme l’un de ses facteurs.

Les entreprises doivent s’assurer que les utilisateurs peuvent recevoir leurs mots de passe avant l’expiration du délai, afin que les TOTP puissent être soumis à une utilisation limitée dans les zones sans bande passante à haut débit ou connexion Internet fiable.

HMAC est l’acronyme de hash-based message authentication code. Mot de passe à usage unique basé sur HMAC (HOTP) repose sur les événements et utilise un compteur et nom la durée comme facteur de déplacement, avec des valeurs et du hachage (hash) de graines (seeds) pour générer des mots de passe. Les HOTP ont été introduits et utilisés avant les TOTP.

L’algorithme HOTP est basé sur une valeur de compteur croissante (hash) et une clé symétrique statique (seed) connue uniquement par le jeton et le service de validation. Étant donné que les HOTP utilisent un compteur au lieu de la durée, ils sont disponibles pendant plus longtemps. L’HOTP est valide jusqu’à ce qu’un autre soit activement demandé et validé par le serveur d’authentification.

L’authentification multifaceur (MFA) requiert que les utilisateurs numériques fournissent au moins deux preuves d’identité de catégories différentes : quelque chose qu’ils connaissent, quelque chose qu’ils ont ou quelque chose qu’ils sont. Les mots de passe à usage uniques appartiennent à la catégorie de « quelque chose qu’ils ont », puisque les OTP sont envoyés à un smartphone ou autre terminal que l’utilisateur possède. Les OTP peuvent également être générés avec un porte-clé ou autre jeton physique en possession de l’utilisateur.

La MFA empêche les acteurs malveillants d’utiliser des identifiants compromis, car ils ne sont pas en mesure de fournir un deuxième ou un troisième facteur d’authentification. Etant donné que l’OTP est envoyé sur le terminal de l’utilisateur, tant que l’utilisateur reste en possession de ses terminaux, le hacker ne recevra pas l’OTP et l’authentification échouera. 

Les OTP peuvent être utilisés pour une variété d’applications et de services. Pour découvrir comment un mot de passe à usage unique est utilisé pour vérifier l’identité d’un utilisateur, regardez cette courte vidéo sur le flux de paiement.

Un mot de passe à usage unique renforce la sécurité du compte d’un utilisateur. Les utilisateurs partagent ou réutilisent souvent leurs mots de passe, ce qui les rend moins sûrs. Leurs mots de passe peuvent aussi être compromis et vendus sur le dark web. Une couche supplémentaire de sécurité, telle qu’un OTP, est nécessaire pour garder les acteurs malveillants loin de votre réseau.

Typiquement utilisé comme second facteur d’authentification, un OTP envoyé vers le terminal d’un utilisateur sert de méthode de vérification supplémentaire. La MFA est particulièrement importante pour les transactions de valeur élevée et pour accéder à des données sensibles, ainsi que pour les emplacements hautement risqués, tels que les aéroports et les réseaux inconnus.

Lorsque l’OTP a été généré et envoyé vers le terminal mobile de l’utilisateur ou généré par un jeton physique en possession de l’utilisateur, le code est copié vers la fenêtre d’authentification ou autre forme qui vérifie le code avec le serveur d’authentification. L’utilisateur est alors autorisé à accéder à son compte.  

Un mot de passe à usage unique expire rapidement et ne peut pas être réutilisé, ce qui le rend plus sûr que les mots de passe traditionnels, que les utilisateurs pourraient réutiliser pour de multiples applications. Les avantages incluent :

Les OTP sont juste un type d’authentification pouvant être utilisé pour vérifier l’identité d’un utilisateur. Pour en savoir plus sur les autres types d’authentification, lisez notre Guide complet sur l’authentification.