Mot de passe unique

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

Un Mot de passe unique ou OTP (One-time password) est un mot de passe qui n'est valable que pour une session ou une transaction. Les OTP permettent de combler certaines lacunes associées aux traditionnels mots de passe statiques, comme la vulnérabilité aux attaques par rejeu. Cela signifie que, si un intrus potentiel parvient à enregistrer un OTP qui était déjà utilisé pour se connecter à un service ou pour effectuer une opération, il ne sera pas en mesure de l'utiliser car il ne sera plus valide. En revanche, les OTP ne peuvent pas être mémorisé par les êtres humains, par conséquent, ils nécessitent des technologies complémentaires afin de s'en servir.

Comment les OTP sont générés et distribués[modifier | modifier le code]

Les algorithmes de génération d'OTP se servent généralement du hasard afin de rendre complexe leur prédiction même en étudiant les OTP précédents. Concrètement les algorithmes ont différentes approches afin d'y parvenir, soit ils:

  • Se basent sur le temps de synchronisation entre le serveur d'authentification et le client fournit le mot de passe (les OTP ne sont valables que pour une courte période de temps)
  • Utilisent un algorithme mathématique pour générer un nouveau mot de passe basé sur le mot de passe précédent (les OTP sont en fait une chaîne et doivent être utilisées dans un ordre prédéfini).
  • Utilisent un algorithme mathématique où le nouveau mot de passe est basé sur un défi (par exemple, un nombre aléatoire choisi par le serveur d'authentification ou les détails d'une opération) et/ou un compteur.

Il existe également différentes manières d'intégrer l'utilisateur dans le prochain OTP à utiliser. Certains systèmes utilisent des jetons d'authentification électronique qui génèrent des OTP et qui permet d'être obtenu en utilisant un petit écran. D'autres systèmes se composent d'un logiciel qui s'exécute sur le téléphone mobile de l'utilisateur. Pourtant, d'autres systèmes permettent de générer des OTP du côté du serveur et de les envoyer à l'utilisateur en utilisant un canal de télécommunication tels que la messagerie SMS. Enfin, dans certains systèmes, les OTP sont imprimés sur du papier que l'utilisateur est tenu de garder avec lui.