Qu’est-ce qu’un mot de passe à usage unique (OTP) ?
Un mot de passe à usage unique (OTP) est une chaîne de caractères numériques ou alphanumériques générée automatiquement qui authentifie un utilisateur pour une seule transaction ou session de connexion.
Un OTP est plus sécurisé qu’un mot de passe statique, en particulier un mot de passe créé par l’utilisateur, qui peut être faible et / ou réutilisé sur plusieurs comptes.
Les OTP peuvent remplacer les informations de connexion d’authentification ou peuvent être utilisées en plus pour ajouter une autre couche de sécurité.
Exemples de mots de passe à usage unique
Les jetons de sécurité OTP sont des cartes à puce à microprocesseur ou des porte-clés de poche qui produisent un code numérique ou alphanumérique pour authentifier l’accès au système ou à la transaction. Ce code secret change toutes les 30 ou 60 secondes, selon la configuration du jeton.
Les applications pour appareils mobiles, telles que Google Authenticator, s’appuient sur le périphérique à jeton et le code PIN pour générer le mot de passe à usage unique pour une vérification en deux étapes.
Les jetons de sécurité OTP peuvent être implémentés à l’aide de matériel, de logiciels ou à la demande. Contrairement aux mots de passe traditionnels qui restent statiques ou expirent tous les 30 à 60 jours, le mot de passe à usage unique est utilisé pour une transaction ou une session de connexion.
Comment obtenir un mot de passe à usage unique
Lorsqu’un utilisateur non authentifié tente d’accéder à un système ou d’effectuer une transaction sur un périphérique, un gestionnaire d’authentification sur le serveur réseau génère un numéro ou un secret partagé, à l’aide d’algorithmes de mot de passe à usage unique. Le même nombre et le même algorithme sont utilisés par le jeton de sécurité de la carte à puce ou de l’appareil pour faire correspondre et valider le mot de passe et l’utilisateur à usage unique.
De nombreuses entreprises utilisent le service de messages courts (SMS) pour fournir un code d’accès temporaire par texte pour un deuxième facteur d’authentification. Le code d’accès temporaire est obtenu hors bande par le biais de communications par téléphone portable après que l’utilisateur a entré son nom d’utilisateur et son mot de passe sur des systèmes d’information en réseau et des applications Web axées sur les transactions.
Pour l’authentification à deux facteurs (2FA), l’utilisateur entre son ID utilisateur, son mot de passe traditionnel et son mot de passe temporaire pour accéder au compte ou au système.
Fonctionnement d’un mot de passe à usage unique
Dans les méthodes d’authentification basées sur OTP, l’application OTP de l’utilisateur et le serveur d’authentification reposent sur des secrets partagés.
Les valeurs des mots de passe à usage unique sont générées à l’aide de l’algorithme HMAC (Hashed Message Authentication Code) et d’un facteur de déplacement, tel que des informations temporelles (TOTP) ou un compteur d’événements (HOTP).
Les valeurs OTP ont des horodatages minute ou seconde pour une plus grande sécurité. Le mot de passe à usage unique peut être transmis à un utilisateur via plusieurs canaux, y compris un message texte basé sur SMS, un e-mail ou une application dédiée sur le point de terminaison.
Les professionnels de la sécurité craignent depuis longtemps que l’usurpation de messages SMS et les attaques d’homme du milieu (MITM) puissent être utilisées pour casser les systèmes 2FA qui reposent sur des mots de passe à usage unique. Cependant, les États-Unis. L’Institut national des normes et de la Technologie (NIST) a annoncé son intention de déprécier l’utilisation des SMS pour les mots de passe 2FA et à usage unique, car la méthode est vulnérable à un assortiment d’attaques qui pourraient compromettre ces mots de passe et codes. En conséquence, les entreprises qui envisagent de déployer des mots de passe à usage unique devraient explorer d’autres méthodes de livraison que les SMS.
Avantages d’un mot de passe à usage unique
Le mot de passe à usage unique évite les pièges courants auxquels les administrateurs informatiques et les responsables de la sécurité sont confrontés avec la sécurité par mot de passe. Ils n’ont pas à se soucier des règles de composition, des mots de passe connus et faibles, du partage des informations d’identification ou de la réutilisation du même mot de passe sur plusieurs comptes et systèmes.
Un autre avantage des mots de passe à usage unique est qu’ils deviennent invalides en quelques minutes, ce qui empêche les attaquants d’obtenir les codes secrets et de les réutiliser.