Mot de passe à usage unique : plus en sécurité sur le Web
Les mots de passe classiques comportent de nombreuses failles. Cela concerne même les mots de passe sûrs (ou considérés comme tels) et choisis minutieusement. Le problème principal est le suivant : lorsqu’un mot de passe est utilisé régulièrement, il existe un risque que des personnes non autorisées (et malintentionnées) mettent la main dessus.
Cela survient fréquemment à l’occasion d’attaques par rejeu : le mot de passe est intercepté et ensuite utilisé par les malfrats pour s’authentifier.
Et il n’y a pas besoin d’être quelqu’un de distrait pour en être victime. En effet, ces dernières années, il est arrivé à plusieurs reprises que des services en ligne, parfois très connus, soient la cible d’attaques de hackers et que les données de milliers de clients soient dérobées.
Comment peut-on s’en protéger ? Une première possibilité consiste à changer de mot de passe régulièrement, à intervalles brefs (sans le faire tous les jours non plus). Une autre solution, beaucoup plus facile à mettre en œuvre, est d’employer un mot de passe à usage unique, ou « one-time password » (OTP) en anglais.
Certificats SSL IONOS
Gagnez la confiance de vos visiteurs en protégeant votre site Web avec un certificat SSL !
Qu’est-ce qu’un mot de passe à usage unique ?
Un mot de passe à usage unique est, comme son nom l’indique, un mot de passe qui expire après avoir été utilisé une seule fois. On rencontre aussi fréquemment l’abréviation OTP ainsi que les termes « clé OTP » et « code OTP ».
Le mot de passe à usage unique correspond généralement à une clé OTP alphanumérique (lettres et chiffres) et est généré pour une seule procédure de connexion. Après que l’utilisateur s’est connecté à l’aide d’un mot de passe à usage unique, celui-ci n’est plus valide et ne peut plus être utilisé pour les connexions suivantes.
Les mots de passe OTP sont couramment employés dans les procédures de double authentification, par exemple dans la banque en ligne, mais aussi de plus en plus dans le monde de l’entreprise.
Dans un premier temps, l’utilisateur saisit ses données de connexion habituelles. Ensuite, il génère un mot de passe unique dynamique, par exemple à l’aide d’un générateur de clés OTP, qui est également requis pour s’authentifier.
Cette étape additionnelle assure un niveau de sécurité renforcé. Si une personne non autorisée parvient à intercepter le mot de passe habituel lors de cette procédure de connexion, il lui manquera encore le mot de passe dynamique. Voilà pourquoi un nombre croissant de services en ligne recourent à la double authentification, en particulier lorsqu’il est question de données sensibles.
Il ne faut pas confondre l’abréviation OTP signifiant « one-time password » avec le « one-time pad », aussi abrégé OTP. Ce dernier est également un procédé de chiffrement réputé très sûr, mais nettement plus complexe à mettre en œuvre que le mot de passe à usage unique.
Comment fonctionne un mot de passe à usage unique ?
Pour que la connexion par OTP aboutisse, l’utilisateur et le système sur lequel il est utilisé doivent tous deux connaître le mot de passe. Pour y parvenir, deux méthodes sont disponibles.
Liste de mots de passe
La liste de mots de passe est le moyen le plus simple d’utiliser des mots de passe à usage unique. Cette liste préétablie contient plusieurs mots de passe qui sont connus à la fois de l’utilisateur et du système. Quand un de ces mots de passe uniques est utilisé, l’utilisateur le raye simplement de la liste.
L’inconvénient de cette méthode est évident : si on égare la liste, des personnes non autorisées peuvent mettre la main sur les mots de passe. Même si ce genre de liste de mots de passe est encore utilisé dans la banque en ligne, de plus en plus de fournisseurs préfèrent maintenant recourir aux mots de passe dynamiques pour la raison précitée.
Mots de passe dynamiques
Les mots de passe dynamiques constituent la méthode la plus courante aujourd’hui. C’est ce qui explique pourquoi les générateurs de mots de passe matériels sont répandus. Ces petits appareils qui ressemblent à des porte-clés ou des petits boîtiers servent à générer des mots de passe.
On parle aussi d’authentifieurs OTP. Tous ont en commun de posséder un afficheur et de délivrer des mots de passe à usage unique sur pression d’un bouton. Les mots de passe ainsi créés sont souvent saisis avec d’autres facteurs d’authentification, tels des codes PIN ou identifiants utilisateur.
Pour générer un mot de passe dynamique, un algorithme spécial est requis. Il existe alors trois modes d’exécution :
- Mode temps
- Mode événement
- Mode défi-réponse
Mode temps
Dans ce mode, le générateur de mots de passe (client) et le serveur créent des mots de passe synchronisés dans le temps à l’aide d’un même algorithme. Le mot de passe TOTP (Time-based One-Time Password) est connu de l’utilisateur et du serveur et valable pendant un laps de temps bien déterminé, typiquement entre une et quinze minutes.
Mode événement
Dans ce mode, les mots de passe à usage unique sont créés par un événement donné, par exemple en appuyant sur un bouton du générateur de mots de passe. Comme en mode temps, le même algorithme est exécuté côté serveur et côté utilisateur. Le mot de passe est calculé à partir du mot de passe précédent et peut ainsi être comparé au serveur.
Mode défi-réponse
Dans ce mode, le serveur lance un défi au client, qui doit y répondre. Le client reçoit une valeur déterminée du serveur et s’en sert pour calculer le mot de passe à usage unique. Comme le serveur connaît l’algorithme et la valeur prédéfinie, il peut vérifier le mot de passe généré.
Quand est-il judicieux d’utiliser un mot de passe à usage unique ?
Il est conseillé d’utiliser des mots de passe à usage unique pour tous les services en ligne et sites Internet traitant des données particulièrement sensibles. Citons par exemple :
- les banques en ligne ;
- les services financiers, comme les dépôts d’actions en ligne ou les plateformes d’échange de crypto monnaies ;
- les données d’entreprise sensibles ;
- les moyens de communication confidentiels.
Tous les sites Web ne nécessitent pas de mot de passe à usage unique. Mais, de façon générale, il faut penser à utiliser des mots de passe sûrs, à plus forte raison quand on les modifie assez rarement. Des études montrent que malgré une cybercriminalité en hausse constante, les utilisateurs sont encore trop nombreux à négliger leur sécurité.
Outre l’authentification par OTP, d’autres méthodes prometteuses de renforcement de la sécurité devraient se démocratiser à l’avenir. Le nouveau standard WebAuthn en fait partie et devrait éliminer complètement le besoin de mémoriser les mots de passe.
Récapitulatif des avantages et inconvénients des mots de passe OTP
| Avantages | Inconvénients |
|---|---|
| Très durs à craquer par les attaques par rejeu | Technologie supplémentaire requise |
| Aucun risque qu’un mot de passe dérobé soit utilisé pour plusieurs sites ou services | Les authentifieurs peuvent tomber en panne/se casser |
| Plus de sécurité pour l’utilisateur | Procédure de génération des mots de passe parfois compliquée |
Stockage en ligne HiDrive
Avec HiDrive, vos fichiers sont sauvegardés en toute sécurité dans le Cloud basé en Europe et sont accessibles depuis tout appareil !
Articles similaires
Aperçu des différents types de mots de passe à usage unique
La sécurité dans le domaine de la banque en ligne a toujours été la base. Des procédures telles que le mot de passe à usage unique permettent de garantir davantage de sécurité. Il existe de nombreuses autres variantes de cette authentification à deux facteurs qui vous permettent de protéger vos transactions bancaires. Découvrez quelles sont les procédures recommandées, et de quelle façon vous…
Alternatives à 1Password : les meilleurs gestionnaires de mots de passe
Les gestionnaires de mots de passe sont des outils très pratiques qui peuvent aider à gérer le chaos quotidien des différents mots de passe. Ils fonctionnent généralement via des extensions de navigateur ou des applications de bureau. 1Password s’est imposé comme un outil solide pour de nombreux utilisateurs. Cependant, c’est un outil relativement cher, qui soulève aussi des doutes sur ses normes…
wk1003mikeShutterstock Gestionnaires de mots de passe : aperçu des meilleurs outils
Pourriez-vous donner votre numéro de compte à un étranger ? Certainement pas. Mais c'est exactement ce que nous faisons lorsque nous sécurisons nos comptes bancaires en ligne ou nos accès Amazon avec des mots de passe qui ne résistent pas une fraction de seconde à une simple attaque de hacker. Pour créer et gérer des mots de passe véritablement sécurisés, il vaut donc la peine d'utiliser un…
Sécurité mots de passe
Chaque année IONOS rappelle l’importance de la sécurité des mots de passe. En effet, bien que ce sujet soit de plus en plus central du fait de la numérisation croissante du monde du travail et de la sphère privée, les enquêtes actuelles montrent toutefois à quel point les internautes français doivent encore s’adapter. Nous présentons les erreurs les plus courantes et les solutions appropriées.
6 logiciels de chiffrement à l’essai
Protéger un dossier par mot de passe en quelques clics, masquer des lecteurs ou synchroniser des données chiffrées directement avec le Cloud : un bon logiciel de chiffrement améliore considérablement le niveau de sécurité de vos données. Voici différents outils de chiffrement, gratuits ou payants, avec leurs avantages et inconvénients respectifs.
