Mot de passe 
En ce qui concerne les gestionnaires de mots de passe, il existe quelques idées fausses courantes, telles que le fait qu'ils sont trop risqués pour être
Un mot de passe unique est un code numérique généré automatiquement qui ne peut être utilisé qu’une seule fois. Les mots de passe uniques sont utilisés pour authentifier les utilisateurs avant qu’ils ne puissent accéder à un compte ou à un système et sont souvent utilisés en tant que forme d’authentification multifacteur (MFA) pour ajouter des facteurs de vérification supplémentaires à un compte. De nombreuses entreprises, telles que les institutions financières, envoient à leurs utilisateurs des mots de passe uniques pour vérifier leur identité avant de leur accorder l’accès à des comptes et à des informations sensibles.
Poursuivez votre lecture pour en savoir plus sur les mots de passe uniques, en quoi ils diffèrent des mots de passe uniques basés sur le temps (TOTP) et comment vous pouvez commencer à les recevoir.
OTP c. TOTP : quelle est la différence ?
La principale différence entre un mot de passe unique (OTP) et un mot de passe unique basé sur le temps (TOTP) est que l’OTP est un terme générique utilisé pour se référer aux différents types de mots de passe uniques, tandis que TOTP est un type spécifique de mot de passe unique.
Un mot de passe unique basé sur le temps est un code généré automatiquement qui n’est valide que pendant un certain temps et est utilisé pour vérifier l’identité d’un utilisateur. Les codes TOTP ne sont généralement valides que pendant 30 à 60 secondes. Après l’expiration d’un code TOTP, un nouveau est généré et il ne peut être utilisé que pendant la période pour laquelle il est valide.
Quels sont les types de mots de passe uniques et comment fonctionnent-ils ?
Il existe deux principaux types de mots de passe uniques : TOTP et HOTP. La façon dont il fonctionne dépend du type de mot de passe unique que vous utilisez.
Comment le TOTP fonctionne
Les mots de passe uniques basés sur le temps fonctionnent lorsqu’un utilisateur analyse d’abord un code QR fourni par le serveur de compte à l’aide d’une application d’authentification dédiée ou d’un gestionnaire de mots de passe qui prend en charge les codes TOTP. L’analyse du code QR fournit à l’application d’authentification un algorithme secret que le serveur partage également. Un code à six chiffres est ensuite généré toutes les 30 à 60 secondes. Alternativement, l’utilisateur peut également saisir une clé secrète pour mettre en place le TOTP.
Lorsque l’utilisateur se connecte au compte pour lequel le TOTP est activé, il doit saisir le code à six chiffres fourni par l’application d’authentification avant qu’il n’expire. Lorsqu’un utilisateur saisit le code TOTP à temps, il peut se connecter avec succès à son compte.
Comment fonctionne le HOTP
Les mots de passe uniques (HOTP) basés sur le hachage utilisent un facteur différent de celui de TOTP pour contenir un code appelé code d’authentification de message basé sur le hachage (HMAC). Le HOTP est basé sur un compte, plutôt que sur le temps, car il contient le code en comptant le nombre de fois où le code est demandé.
Les codes HOTP sont valides jusqu’à ce qu’ils soient utilisés ou qu’un nouveau code HOTP soit demandé.
Les avantages de l’utilisation de mots de passe uniques
Il existe deux principaux avantages à l’utilisation de mots de passe uniques : la prévention de la compromission de compte et la protection contre les attaques de replay.
Les mots de passe uniques aident à prévenir la compromission de compte
Les mots de passe uniques, comme toute autre méthode MFA, protègent vos comptes en ligne pour éviter qu’ils ne soient compromis même si quelqu’un a accès à vos identifiants de connexion. Un rapport de recherche de Microsoft a révélé que la MFA peut bloquer plus de 99,9 % des attaques de compromission de compte.
Voici un exemple : disons que le nom d’utilisateur et le mot de passe de l’un de vos comptes en ligne sont exposés lors d’une violation de données publiques et qu’un cybercriminel met la main sur ces identifiants violés. Comme ils savent à quel compte les identifiants appartiennent, ils tentent de se connecter à ce compte. Cependant, une fois qu’ils ont saisi les identifiants dans le portail de connexion, ils sont invités à fournir le code unique qui est affiché dans votre gestionnaire de mots de passe.
Comme le cybercriminel n’a pas accès à votre gestionnaire de mots de passe, il ne pourra pas fournir le code unique, ce qui signifie qu’il ne pourra pas se connecter à votre compte.
Les mots de passe uniques peuvent vous protéger contre les attaques de replay
Une attaque de replay, également appelée attaque de répétition ou de playback, est un type de cyberattaque où les cybercriminels écoutent sur votre réseau et interceptent ensuite les données échangées afin de retarder ou de répéter les données plus tard. Lorsqu’un cybercriminel intercepte les données, il vole également l’ID de session du client afin qu’il ressemble à un client valide sur le réseau.
Ce qui rend les mots de passe uniques si sûrs, c’est qu’ils ne peuvent être utilisés qu’une seule fois, donc même si un cybercriminel pouvait utiliser une attaque de replay pour intercepter vos identifiants de connexion pour l’un de vos comptes, le mot de passe unique que vous avez saisi serait invalide pour qu’ils puissent réutiliser.
Comment recevoir un mot de passe unique
Vous pouvez commencer à recevoir des mots de passe uniques en les activant dans les paramètres de sécurité de chacun de vos comptes en ligne. Lorsque vous activez les mots de passe uniques sur un compte, on vous demandera comment vous souhaitez les recevoir. Les éléments suivants seront quelques-unes de vos options.
Remarque : tous les sites Web ne prennent pas en charge l’utilisation de mots de passe uniques en tant que forme de MFA.
- SMS: le choix de cette option vous permettra de recevoir vos codes OTP par SMS. Bien que cela soit pratique, c’est le moyen le moins sûr de recevoir vos mots de passe uniques en raison des attaques de SIM swapping.
- Appel téléphonique: le choix de cette option vous permettra de recevoir des codes OTP par le biais d’un appel téléphonique. Cette option OTP est également sensible aux attaques de SIM-swapping.
- E-mail: le choix de cette option signifie que vous recevrez un code OTP par e-mail. Cependant, les e-mails sont des comptes couramment ciblés, donc si votre e-mail est compromis, un cybercriminel pourrait obtenir le code OTP.
- Application d’authentification : le choix de cette option signifie que vous devrez télécharger une application distincte sur votre téléphone comme Google Authenticator. Les codes générés par les applications d’authentification sont basés sur le temps, vous devrez donc les saisir avant qu’ils n’expirent. Certains gestionnaires de mot de passe comme Keeper® sont également livrés avec une option pour générer les mots de passe uniques pour vos comptes.
Sécurisez vos comptes avec des mots de passe forts et un OTP
Ensemble, des mots de passe forts et des mots de passe uniques aident à protéger vos comptes en ligne contre toute compromission. Chaque compte en ligne doit avoir un mot de passe unique et fort qui n’est jamais réutilisé et ne contient pas de mots ou de phrases du dictionnaire courants.
La meilleure façon de vous assurer que vous utilisez toujours des mots de passe forts est d’utiliser un générateur de mots de passe. De nombreux gestionnaires de mot de passe ont des générateurs de mot de passe intégrés pour vous aider à créer des mots de passe forts pour chacun de vos comptes, tout en les stockant en toute sécurité pour vous. En plus d’un mot de passe fort, vos comptes doivent également avoir des mots de passe uniques ou une autre méthode de MFA activée.
Keeper Password Manager peut vous aider à sécuriser vos comptes en vous aidant lors de la création et du stockage de vos mots de passe et de vos mots de passe uniques. Commencez à sécuriser vos comptes en ligne avec Keeper en commençant un essai gratuit de 30 jours.
