Qu'est-ce qu'un mot de passe à usage unique basé sur le temps (TOTP) ?

Un mot de passe unique basé sur le temps (TOTP) est une méthode d'authentification où des codes uniques sont générés toutes les 30 à 60 secondes par un algorithme. Utilisé pour l'authentification multifactorielle (MFA), le code TOTP est saisi par les utilisateurs après que ceux-ci ont entré leur mot de passe pour faire vérifier leur identité et accéder à un compte.

Fonctionnement d'un TOTP

Le système TOTP repose sur un algorithme secret qui génère des codes. L'algorithme, qui est unique pour chaque instance, s'appuie sur l'heure actuelle comme facteur. Ceci permet à l'algorithme de produire un nouveau code unique toutes les 30 à 60 secondes.

À chaque fois qu'un utilisateur initie la création d'un nouveau TOTP pour un compte, les serveurs du compte génèrent un algorithme à la fois unique et secret, généralement présenté sous la forme d'un code QR. Le serveur conserve le secret et l'utilise pour générer les codes TOTP.

L'utilisateur scanne le code QR à l'aide d'un outil d'authentification pouvant être une appli téléphonique dédiée ou une fonctionnalité d'un gestionnaire de mots de passe. L'outil d'authentification disposant désormais de l'algorithme secret, il calcule exactement les mêmes codes à six chiffres que le serveur.

Une fois configuré, l'algorithme s'exécute simultanément sur le serveur et sur l'outil d'authentification de l'utilisateur, produisant les mêmes codes à six chiffres au même moment.

Lorsqu'il se connecte, l'utilisateur saisit le code qui s'affiche au même moment sur son outil d'authentification. Le serveur compare alors le code qu'il a calculé à celui de l'utilisateur. Si ceux-ci correspondent, l'utilisateur est vérifié et autorisé à accéder.

Illustration montrant le processus de fonctionnement des mots de passe à usage unique basés sur le temps (TOTP). Elle comprend un code QR généré par un serveur affichant un code temporaire, une appli d'authentification avec laquelle le secret est partagé, un code à six chiffres généré par l'appli et un symbole pour transmettre l'idée d'une authentification renforcée.

Comment utiliser TOTP

Voici les étapes à suivre pour utiliser TOTP :

  1. Choisissez votre outil d'authentification. Nous préconisons l'utilisation d'un gestionnaire de mots de passe pour générer vos codes TOTP. Le processus de connexion s'en trouvera ainsi simplifié et vous n'aurez pas besoin d'utiliser plusieurs appareils juste pour vous connecter.

  2. Demandez un algorithme secret depuis votre compte. Connectez-vous à votre compte et trouvez les paramètres de sécurité. Si les codes TOTP figurent parmi les options MFA de votre compte, vous verrez un paramètre vous permettant de demander un code QR.

  3. Scannez le code QR avec votre outil d'identification. Quelle que soit l'application utilisée, vous pourrez scanner le code QR, très probablement via la caméra de votre téléphone ou une fonctionnalité de capture d'écran.

  4. Vous êtes prêt ! À chaque fois que vous vous connectez et que le serveur demande un code d'authentification, consultez votre outil d'authentification pour trouver le code affiché. Veillez à saisir celui-ci avant que le délai ne soit écoulé et que le code ne change (généralement toutes les 30 à 60 secondes).

Pourquoi vous devriez utiliser l'authentification TOTP

TOTP est l'une des formes d'authentification à plusieurs facteurs. La MFA est recommandée pour tous les comptes. Voyez-la comme une couche de sécurité supplémentaire pour votre mot de passe ! Si quelqu'un obtient un mot de passe et tente de se connecter à un compte sur lequel la MFA est activée, il ne pourra pas y accéder sans la deuxième méthode d'authentification.

Des mots de passe sont régulièrement compromis dans des fuites de données énormes et autres cyberattaques. Ceci rend la MFA vitale. Si vous n'utilisez pas la MFA sur vos comptes, les cybercriminels peuvent facilement se connecter avec des identifiants volés et accéder à vos données confidentielles.

Ce qui fait de TOTP l'une des formes les plus sûres de MFA, c'est le fait que les codes soient calculés de façon indépendante par les deux parties. Ainsi, celles-ci n'ont pas besoin de s'échanger les codes. Le code ne peut être intercepté tant que l'algorithme reste secret. Le fait que le code change aussi souvent crée une couche de sécurité supplémentaire.

Par rapport à un code de vérification traditionnel, généralement envoyé par e-mail ou SMS, TOTP est beaucoup plus sûr. En effet, les e-mails et les SMS ne sont pas chiffrés et peuvent être interceptés facilement par des cybercriminels.

OTP vs TOTP vs HOTP

La différence entre OTP, TOTP et HOTP est le type de facteur utilisé pour calculer le code du mot de passe obtenu.

Un mot de passe à usage unique (OTP) est un terme générique désignant tout type de code à usage unique utilisé pour l'authentification. Ces codes de vérification peuvent être générés par différents moyens, dont certains sont plus sécurisés que d'autres.

Comme nous l'avons vu, TOTP est un type d'OTP qui utilise le temps comme facteur pour calculer le code. Le facteur change avec le temps, ce qui veut dire qu'un nouveau code est généré toutes les 30 à 60 secondes. Sa fréquence de changement élevée fait de TOTP le type d'OTP le plus sécurisé.

Les mots de passe à usage unique basés sur le hachage (HOTP) fonctionnent de la même manière, mais utilisent un facteur différent pour calculer le code, en l'occurrence un code d'authentification des messages basé sur le hachage (HMAC). Le HMAC compte le nombre de fois où un code est demandé et s'en sert pour calculer le code. Le code change à chaque fois qu'un code est demandé, au lieu de toutes les 30 à 60 secondes.

Comparatif des types d'OTP
  • TOTP
    • S'appuie sur l'heure actuelle pour générer les codes
    • Change toutes les 30 à 60 secondes
    • La méthode la plus sûre
  • HOTP
    • S'appuie sur le nombre de fois où un code est demandé pour générer des codes
    • Ne change pas jusqu'à ce qu'un nouveau code soit demandé
    • Sécurisé quand même, mais moins que TOTP

Les mots de passe uniques basés sur le temps offrent une solution pratique pour sécuriser vos comptes. Keeper Password Manager permet de configurer TOTP pour tous vos comptes en toute simplicité, tout en générant des mots de passe robustes. Avec KeeperFill, le processus de connexion est un jeu d'enfant. Keeper renseigne automatiquement votre mot de passe et vos codes TOTP pour sécuriser vos comptes sans les inconvénients des autres méthodes de MFA.

close
Ventes pro
Assistance
closeChoix de la langue
close

Entreprises et professionnels

Protégez votre entreprise des cybercriminels.

Commencez l'essai gratuit

Secteur public et FedRAMP

Protégez votre agence ou votre établissement d'enseignement des cybercriminels.

Contact

MSP

Protégez votre entreprise de services gérés, vos clients finaux et bénéficiez de nouvelles sources de revenus.

Commencez l'essai gratuit

Particuliers et familles

Protégez-vous et votre famille des cybercriminels.

Me protéger tout de suite
close

Particuliers et familles

Protégez-vous et votre famille des cybercriminels.

Commencez l'essai gratuit

Entreprises et professionnels

Protégez votre entreprise des cybercriminels.

Commencez l'essai gratuit
Français (FR) Nous appeler
Télécharger sur l'App Store Télécharger sur Google Play