Un mot de passe à usage unique ou un OTP est un mot de passe qui n’est valide qu’une seule fois. Les OTP peuvent être utilisés pour améliorer la sécurité et prendre en charge l’authentification forte. Cet article expliquera les bases des OTP et comment ils peuvent être mis en œuvre.
Aujourd’hui, la plupart des réseaux d’entreprise ne nécessitent qu’un nom d’utilisateur et un mot de passe statique pour accéder aux données personnelles et sensibles. Ce type d’authentification à facteur unique est très pratique, cependant, il n’est pas très sécurisé dans notre monde moderne. La plupart des gens comprennent qu’ils devraient utiliser des mots de passe uniques pour chaque compte en ligne. Pourtant, 69% d’entre nous utilisent de toute façon le même mot de passe.
De plus, 47% des personnes utilisent un mot de passe de plus de 5 ans et le mot de passe le plus couramment utilisé est ‘123456’ – utilisé par un nombre impressionnant de 17% des personnes. Pire encore, 95 % des personnes Partagent Jusqu’À 6 Mots De passe avec leurs amis.
Même si vos utilisateurs finaux maîtrisent bien les mots de passe (ils utilisent un mot de passe fort différent pour chaque compte en ligne et ne les écrivent jamais nulle part), ils peuvent toujours être compromis par des logiciels malveillants d’enregistrement de frappe ou des attaques man-in-the-middle. Alors, comment protégez-vous vous-même et les actifs les plus précieux de votre entreprise contre une mauvaise hygiène des mots de passe ou des écoutes électroniques? Une façon consiste à utiliser un « mot de passe à usage unique » – un mot de passe jetable qui n’est valide qu’une seule fois.
Qu’est-ce qu’un mot de passe à usage unique ?
Les mots de passe à usage unique sont des mots de passe qui ne sont valides que pour une session de connexion ou une transaction, offrant ainsi une protection contre diverses attaques basées sur des mots de passe, en particulier les attaques de reniflage et de relecture de mots de passe. En règle générale, un OTP est une série de nombres ou de caractères générés automatiquement.
Pour que ce système fonctionne, le mot de passe doit changer à chaque fois qu’il est utilisé, mais il doit également y avoir une sorte de synchronisation entre le mot de passe en constante évolution, le système informatique ou l’application utilisée et l’utilisateur final. Cette synchronisation doit également avoir lieu sans transmettre de données via des méthodes non sécurisées telles que le courrier électronique.
Comment les mots de passe à usage unique sont-ils synchronisés ?
Les mots de passe à usage unique peuvent être générés de plusieurs manières et chacun comporte des compromis en termes de sécurité, de commodité et de coût.
Synchronisation temporelle
Une approche pour générer des mots de passe à usage unique consiste à utiliser la synchronisation temporelle. Chaque utilisateur dispose d’un jeton personnel (qui peut ressembler à une petite calculatrice ou à un trousseau de clés) avec un écran affichant un nombre qui change occasionnellement. À l’intérieur du jeton personnel se trouve une horloge synchronisée avec l’horloge du serveur d’authentification propriétaire. Le périphérique et le serveur d’applications génèrent tous deux de nouveaux OTP basés sur une version numérique de l’heure actuelle.
Les mots de passe synchronisés dans l’heure ne doivent pas toujours correspondre parfaitement et il existe généralement une fenêtre où les mots de passe plus anciens ou plus récents seront acceptés. Cela se fait simplement parce qu’il faut un peu de temps aux humains pour lire et entrer le OTP, par exemple, il serait inhabituel qu’un mot de passe change toutes les secondes, car l’utilisateur final n’aurait pas assez de temps pour entrer le mot de passe avant qu’il ne devienne invalide.
Le mot de passe lui-même est généralement un hachage de l’heure actuelle – par exemple, 16.43 devient 1643, qui est ensuite exécuté via un générateur de code et un processus mathématique appelé fonction de hachage (ou code de hachage) pour générer un code unique à 10 chiffres, qui est le mot de passe à usage unique.
L’heure est donc une partie importante de l’algorithme de mot de passe, car la génération de nouveaux mots de passe est basée sur l' »heure actuelle ». Si les horloges sont trop décalées, le jeton ne générera pas de mots de passe corrects et devra être réinitialisé. Pour éviter le problème des différents fuseaux horaires, un horodatage Unix peut être utilisé, qui est un temps universel coordonné.
Étape de verrouillage
La deuxième méthode implique le système informatique et le jeton commençant par le même numéro partagé (appelé graine). Chaque fois qu’un nouveau mot de passe est généré, le périphérique de jeton incrémente son propre compteur interne, et chaque fois que vous vous connectez réellement, le serveur incrémente également son compteur.
Il est possible de sortir de l’étape en générant des mots de passe qui ne sont pas utilisés, ce qui fait que le compteur du jeton avance plus que le compteur sur le serveur d’applications. Cependant, la tolérance est généralement créée pour que les choses puissent être un peu désynchronisées, et le serveur se synchronisera (généralement) automatiquement au cas où il deviendrait décalé.
Cette technique OTP est appelée synchronisation par pas de verrouillage ou par compteur, et bien que du matériel propriétaire soit toujours nécessaire, elle ne souffre pas de l’inconvénient de devoir garder les horloges dans le temps.
OTP basé sur la transmission
La troisième approche est complètement différente. Au lieu que deux appareils soient responsables indépendamment de leurs propres mots de passe (qui sont ensuite comparés pour la validité), les mots de passe sont générés aléatoirement par le serveur d’authentification. Comme ce mot de passe est complètement aléatoire, il n’est pas possible pour un périphérique à jeton de rester automatiquement à l’étape, par conséquent, l’OTP doit être activement communiqué à l’utilisateur final.
Ces types de mots de passe jetables sont souvent appelés « SMS-OTP » car ils sont le plus souvent envoyés par SMS, mais ils peuvent également être générés par une application ou un appareil électronique portable (appelé jeton de sécurité) ou, dans certains cas, ils peuvent même être imprimés et envoyés par courrier. Lorsque vous souhaitez vous authentifier, le système vous envoie votre mot de passe et vous l’utilisez pour vous connecter. L’un des énormes avantages de cette méthode est qu’elle élimine la nécessité de fournir et de maintenir du matériel propriétaire.
Comment les mots de passe uniques sont-ils transmis?
Les mots de passe à usage unique peuvent être communiqués aux utilisateurs finaux de plusieurs manières et chacun a des compromis en termes de sécurité, de commodité et de coût.
Mot de passe unique par message SMS
Cette méthode nécessite un service SMS fiable et de haute qualité. Une fois que l’utilisateur a rempli le nom d’utilisateur et le mot de passe corrects lors de la connexion, un message texte avec un OTP est déclenché, qui est envoyé au numéro de mobile enregistré sur le compte de l’utilisateur. L’utilisateur termine ensuite le processus d’authentification en entrant le code affiché dans le message SMS dans l’écran de connexion de l’application. Les utilisateurs finaux ont généralement un certain délai avant l’expiration du mot de passe.
Mot de passe à usage unique via la voix
Une alternative aux SMS est la voix, qui utilise un téléphone fixe ou cellulaire existant pour recevoir un mot de passe parlé en tant qu’appel téléphonique sur le numéro de téléphone fixe ou mobile de l’utilisateur. Les avantages de cette méthode sont que les mots de passe ne sont pas stockés sur le téléphone de l’utilisateur et que cela vous permet d’atteindre des utilisateurs avec une vue limitée. Cependant, il y a un coût par utilisation associé à cette solution et elle nécessite un numéro de téléphone fixe ou mobile déjà établi pour fonctionner.
Les mots de passe sont également limités à des chaînes de caractères courtes, sinon le transfert du mot de passe de l’appel à l’écran de connexion devient difficile pour l’utilisateur ou nécessite plusieurs tentatives pour obtenir une correspondance.
Mot de passe à usage unique par e-mail
Si un compte de messagerie est inscrit à côté d’un compte utilisateur, des mots de passe à usage unique peuvent être envoyés à une adresse e-mail pour authentification lors de la connexion. La livraison d’e-mails pour des mots de passe uniques est une option rentable, cependant, la sécurité et la convivialité peuvent être sacrifiées. Le courrier électronique n’était pas destiné à être le centre de nos vies numériques comme il l’est aujourd’hui, il n’a donc pas été conçu avec une sécurité ou une confidentialité à l’esprit.
91% de toutes les cyberattaques commencent par le courrier électronique, et c’est la méthode la moins sécurisée pour l’authentification à deux facteurs. Cela dépend également du fait que les utilisateurs ont un accès cohérent à un compte de messagerie. Les utilisateurs peuvent également subir des demandes de réinitialisation de mot de passe et des délais d’expiration lorsqu’ils tentent d’accéder à leur compte de messagerie afin d’accéder au bureau du procureur.
Mot de passe à usage unique via post
Un système de messagerie fonctionne essentiellement de la même manière que les autres systèmes de messagerie, mais le mot de passe prend plus de temps à être communiqué à l’utilisateur final. La validité du mot de passe est donc prolongée pour tenir compte des retards de transit. Certaines banques enverront de longues listes imprimées de mots de passe à usage unique (appelés numéros d’authentification de transaction ou TAN) aux organisations pour qu’elles puissent les utiliser dans les services bancaires aux entreprises. La banque dispose d’une liste de mots de passe correspondants stockés sur son système informatique et les mots de passe doivent être utilisés en séquence pour assurer une correspondance.
Les listes et les grilles de numéros offrent des solutions rentables pour les OTP, mais elles sont lentes et peu conviviales. L’utilisateur doit conserver une liste de mots de passe qui doit souvent être utilisée en séquence, et si votre liste de mots de passe est copiée ou tombe entre de mauvaises mains, quelqu’un a tous vos mots de passe.
Mot de passe à usage unique via une notification Push
Les mots de passe à usage unique via Push sont similaires aux mots de passe à usage unique basés sur SMS, cependant, cette fois, le mot de passe généré automatiquement est envoyé sous forme de notification push à une application sur l’appareil de l’utilisateur. Une fois la notification push envoyée à l’application, l’utilisateur copie ensuite le code sur l’écran de connexion pour vérifier son identité. La notification push est la solution la plus rentable car elle utilise un appareil existant (par exemple, l’appareil mobile des utilisateurs) et n’entraîne pas les coûts de la messagerie SMS.
C’est aussi l’une des solutions les plus sécurisées, en plus de sa convivialité. Avec les téléphones mobiles modernes, vous pouvez même inclure un troisième facteur d’authentification tel qu’une analyse biométrique (par exemple, une analyse d’empreintes digitales) pour assurer une sécurité vraiment stricte. Les inconvénients sont également minimes: les notifications push nécessitent une application dédiée et l’accès aux applications est sujet à une perte de téléphone portable.
Mot de passe hybride à usage unique (le meilleur des deux mondes)
Vous pouvez combiner les atouts de la messagerie SMS et push et utiliser un système hybride. Le mot de passe est initialement envoyé par notification push, ce qui est rapide et rentable, mais si votre utilisateur n’a pas installé votre application ou est hors ligne, le mot de passe peut être envoyé par SMS. Vous pouvez également ajouter une troisième option de secours consistant à transmettre le mot de passe par voix si push et SMS ont échoué pour une raison quelconque.
Votre méthode de livraison de mot de passe par défaut peut être la plus efficace pour réduire vos coûts, mais en utilisant une solution hybride, vous vous assurez que les utilisateurs peuvent toujours accéder à votre application, ce qui favorise un meilleur engagement de l’application.
Un OTP peut fournir une grande sécurité et une authentification forte.
Conclusion
L’utilisateur professionnel moyen dispose de 191 mots de passe et tape en moyenne 8 mots de passe différents par jour. Le plus souvent, vos utilisateurs finaux utilisent les mêmes mots de passe pour plusieurs comptes, écrivent leurs mots de passe sur des notes post-it ou bombardent votre service d’assistance informatique de demandes de réinitialisation de mot de passe – en moyenne, les demandes de réinitialisation de mot de passe représentent 10% à 30% de tous les appels d’assistance informatique.
L’authentification à deux facteurs est particulièrement importante lorsqu’il s’agit de protéger les données d’entreprise contre la cybercriminalité et la fraude. L’avantage le plus important des OTP est que, contrairement aux mots de passe statiques, ils ne sont pas vulnérables aux attaques par rediffusion.
L’authentification à deux facteurs (sous la forme de mots de passe à usage unique) durcit un ID utilisateur traditionnel et un système de mots de passe statiques en ajoutant un autre identifiant dynamique. Même si vos utilisateurs utilisent le même mot de passe (ou un mot de passe similaire) pour chaque système, votre système est rendu moins vulnérable car il est peu probable que les deux couches de sécurité soient compromises par un pirate informatique.
Il existe également un troisième facteur disponible, par ex. empreintes digitales, scan de la rétine, empreinte vocale, reconnaissance faciale, etc., qui peuvent être utilisés pour ajouter une autre couche de sécurité. Il va de soi que plus il y a de facteurs nécessaires pour s’authentifier, plus vos systèmes seront sécurisés.
Cliquez ici pour notre guide sur l’authentification forte du client (SCA), une exigence pour les paiements en ligne d’ici la fin de 2020.
À la baisse, les mots de passe uniques forts sont difficiles à mémoriser pour les êtres humains, ils nécessitent donc une technologie supplémentaire pour fonctionner. Pour les systèmes OTP qui reposent sur une synchronisation par pas de verrouillage ou par compteur, les générateurs de mots de passe doivent faire face à la situation où un jeton électronique se désynchronise avec son serveur, ce qui entraîne des coûts de développement supplémentaires. Les systèmes synchronisés dans le temps, en revanche, évitent cela au détriment de la nécessité de maintenir une horloge dans les jetons électroniques (et une valeur de décalage pour tenir compte de la dérive de l’horloge).
Les solutions les moins chères (et les meilleures) sont celles qui fournissent des OTP sans les coûts associés au matériel propriétaire. Des méthodes simples telles que des listes générées manuellement ou des grilles de numéros offrent des solutions peu coûteuses, mais elles sont lentes et difficiles à maintenir. Les utilisateurs sont tenus d’avoir une liste de mots de passe et de garder une trace de leur emplacement dans la liste.
De plus, si la liste tombe entre de mauvaises mains, quelqu’un a tous vos mots de passe. Les meilleures solutions utilisent donc un appareil existant (par exemple, un téléphone portable) et délivrent des mots de passe à usage unique sans les coûts associés à la messagerie SMS (par exemple, une notification push).
Cliquez ici pour lire nos réflexions sur le partage de mots de passe (nous savons que vous êtes également coupable de cela!)
Pour protéger vos données d’entreprise, vous devez savoir comment générer des mots de passe sécurisés à usage unique pour une authentification forte à deux ou plusieurs facteurs. Vous devez également savoir comment distribuer des mots de passe à usage unique aux clients ou aux employés, afin que le système que vous avez créé ne soit pas vulnérable aux attaques. Parlez à un expert en sécurité comme 10Duke pour savoir comment implémenter une authentification sécurisée à deux ou plusieurs facteurs, afin de sécuriser vos employés et vos applications.