Qu’est-ce qu’un mot de passe à usage unique basé sur le temps et devriez-vous en utiliser un ?

Les mots de passe à usage unique basés sur le temps (TOTP) sont l’algorithme informatique standard de mot de passe à usage unique. Ils développent le mot de passe à usage unique du code d’authentification de message basé sur le hachage (HMAC) (mot de passe à usage unique basé sur HMAC, ou HOTP en abrégé).

Les TOTP peuvent être utilisés à la place ou en complément des solutions traditionnelles d’authentification à deux facteurs à plus longue durée de vie, telles que les messages SMS ou les jetons matériels physiques qui peuvent être volés ou oubliés facilement. Alors, que sont exactement les mots de passe à usage unique basés sur le temps ? Comment travaillent-ils?

Qu’est-ce qu’un TOTP ?

TOTP est un mot de passe temporaire à usage unique généré en fonction de l’heure actuelle par un algorithme d’authentification de l’utilisateur. Il s’agit d’une couche de sécurité supplémentaire pour vos comptes basée sur l’authentification à deux facteurs (2FA) ou l’authentification multifacteur (MFA). Cela signifie qu’après avoir entré votre nom d’utilisateur et votre mot de passe, vous devez entrer un code particulier qui est basé sur le temps et de courte durée.

TOTP est ainsi nommé car il utilise un algorithme standard pour élaborer un code d’accès unique et numérique à l’aide de l’heure de Greenwich (GMT). C’est-à-dire que le mot de passe est généré à partir de l’heure actuelle pendant cette période. Les codes sont également générés à partir d’un secret partagé ou d’un mot de passe secret fourni lors de l’enregistrement de l’utilisateur auprès du serveur d’authentification, soit par le biais de codes QR, soit en clair.

Ce mot de passe est montré à l’utilisateur, qui est censé l’utiliser pendant une durée spécifiée, après quoi il expire. Les utilisateurs saisissent le code secret à usage unique, leur nom d’utilisateur et leur mot de passe habituel dans un formulaire de connexion dans un délai limité. Après expiration, le code n’est plus valide et ne peut plus être utilisé sur un formulaire de connexion.

Les TOTP comprennent une chaîne de codes numériques dynamiques, généralement entre quatre et six chiffres, qui changent toutes les 30 à 60 secondes. L’Internet Engineering Task Force (IETF) a publié le TOTP, décrit dans la RFC 6238 , et utilise un algorithme standard pour obtenir un mot de passe à usage unique.

Les membres de l’ Initiative for Open Authentication (OATH) sont à l’origine de l’invention de TOTP. Il a été vendu exclusivement sous brevet, et différents fournisseurs d’authentification l’ont depuis commercialisé suite à la standardisation. Il est actuellement largement utilisé par les fournisseurs d’applications cloud. Ils sont conviviaux et disponibles pour une utilisation hors ligne, ce qui les rend idéaux pour une utilisation dans les avions ou lorsque vous n’avez pas de couverture réseau.

Comment fonctionne un TOTP ?

Les TOTP, en tant que deuxième facteur d’autorisation sur vos applications, offrent à vos comptes une couche de sécurité supplémentaire car vous devez fournir les codes d’accès numériques à usage unique avant de vous connecter. Ils sont communément appelés « jetons logiciels », « jetons logiciels ».  » et  » authentification basée sur l’application  » et trouvent une utilisation dans des applications d’authentification telles que Google Authenticator et Authy .

La façon dont cela fonctionne est qu’après avoir entré le nom d’utilisateur et le mot de passe de votre compte, vous êtes invité à ajouter un code TOTP valide dans une autre interface de connexion comme preuve que vous possédez le compte.

Dans certains modèles, le TOTP vous parvient sur votre smartphone via un SMS. Vous pouvez également obtenir les codes à partir d’une application d’authentification pour smartphone en scannant une image QR. Cette méthode est la plus largement utilisée et les codes expirent généralement après environ 30 ou 60 secondes. Cependant, certains TOTP peuvent durer 120 ou 240 secondes.

Le mot de passe est créé de votre côté au lieu du serveur utilisant l’application d’authentification. Pour cette raison, vous avez toujours accès à votre TOTP afin que le serveur n’ait pas besoin d’envoyer un SMS chaque fois que vous vous connectez.

Il existe d’autres méthodes par lesquelles vous pouvez obtenir votre TOTP :

• Jetons de sécurité matériels.
• Messages électroniques du serveur.
• Messages vocaux du serveur.

Étant donné que le TOTP est basé sur le temps et expire en quelques secondes, les pirates n’ont pas assez de temps pour anticiper vos codes d’accès. De cette façon, ils offrent une sécurité supplémentaire au système d’authentification par nom d’utilisateur et mot de passe plus faible.

Par exemple, vous souhaitez vous connecter à votre poste de travail qui utilise TOTP. Vous entrez d’abord votre nom d’utilisateur et votre mot de passe pour le compte, et le système vous demande un TOTP. Vous pouvez ensuite le lire à partir de votre jeton matériel ou de l’image QR et le saisir dans le champ de connexion TOTP. Une fois que le système a authentifié le mot de passe, il vous connecte à votre compte.

L’algorithme TOTP qui génère le mot de passe nécessite la saisie de l’heure de votre appareil et votre graine ou clé secrète. Vous n’avez pas besoin d’une connexion Internet pour générer et vérifier le TOTP, c’est pourquoi les applications d’authentification peuvent fonctionner hors ligne. TOTP est nécessaire pour les utilisateurs qui souhaitent utiliser leurs comptes et qui ont besoin d’une authentification lors de voyages en avion ou dans des régions éloignées où la connectivité réseau n’est pas disponible.

Comment TOTP est-il authentifié ?

Le processus suivant fournit un guide simple et bref sur le fonctionnement du processus d’authentification TOTP.

Lorsqu’un utilisateur souhaite accéder à une application telle qu’une application de réseau cloud, il est invité à saisir le TOTP après avoir saisi son nom d’utilisateur et son mot de passe. Ils demandent que 2FA soit activé et le jeton TOTP utilise l’algorithme TOTP pour générer l’OTP.

L’utilisateur entre le jeton sur la page de demande et le système de sécurité configure son TOTP en utilisant la même combinaison de l’heure actuelle et du secret ou de la clé partagés. Le système compare les deux codes d’accès ; s’ils correspondent, l’utilisateur est authentifié et l’accès lui est accordé. Il est important de noter que la plupart des TOTP s’authentifieront avec des codes QR et des images.

TOTP ou mot de passe à usage unique basé sur HMAC

Le mot de passe à usage unique basé sur HMAC a fourni le cadre sur lequel TOTP a été construit. TOTP et HOTP partagent des similitudes, car les deux systèmes utilisent une clé secrète comme l’une des entrées pour générer le mot de passe. Cependant, alors que TOTP utilise l’heure actuelle comme autre entrée, HOTP utilise un compteur.

De plus, en termes de sécurité, TOTP est plus sûr que HOTP car les mots de passe générés expirent après 30 à 60 secondes, après quoi un nouveau est généré. Dans HOTP, le mot de passe reste valide jusqu’à ce que vous l’utilisiez. Pour cette raison, de nombreux pirates peuvent accéder aux HOTP et les utiliser pour mener à bien des cyberattaques. Même si HOTP est toujours utilisé par certains services d’authentification, la plupart des applications d’authentification populaires nécessitent TOTP.

Quels sont les avantages d’utiliser un TOTP ?

Les TOTP sont bénéfiques car ils vous offrent une couche de sécurité supplémentaire. Le système nom d’utilisateur-mot de passe seul est faible et souvent soumis à des attaques Man-in-the-Middle. Cependant, avec les systèmes 2FA/MFA basés sur TOTP, les pirates n’ont pas assez de temps pour accéder à votre TOTP même s’ils ont volé votre mot de passe traditionnel, ils ont donc peu de possibilités de pirater vos comptes.

L’authentification TOTP offre une sécurité supplémentaire

Les cybercriminels peuvent facilement accéder à votre nom d’utilisateur et à votre mot de passe et pirater votre compte. Cependant, avec les systèmes 2FA/MFA basés sur TOTP, vous pouvez avoir un compte plus sécurisé car les TOTP sont limités dans le temps et expirent en quelques secondes. La mise en œuvre de TOTP en vaut clairement la peine.