Qu'est-ce qu'un mot de passe à usage unique basé sur le temps (TOTP) ?
- Glossaire IAM
- Qu'est-ce qu'un mot de passe à usage unique basé sur le temps (TOTP) ?
Un mot de passe unique basé sur le temps (TOTP) est une méthode d'authentification où des codes uniques sont générés toutes les 30 à 60 secondes par un algorithme. Utilisé pour l'authentification multifactorielle (MFA), le code TOTP est saisi par les utilisateurs après que ceux-ci ont entré leur mot de passe pour faire vérifier leur identité et accéder à un compte.
Fonctionnement d'un TOTP
Le système TOTP repose sur un algorithme secret qui génère des codes. L'algorithme, qui est unique pour chaque instance, s'appuie sur l'heure actuelle comme facteur. Ceci permet à l'algorithme de produire un nouveau code unique toutes les 30 à 60 secondes.
À chaque fois qu'un utilisateur initie la création d'un nouveau TOTP pour un compte, les serveurs du compte génèrent un algorithme à la fois unique et secret, généralement présenté sous la forme d'un code QR. Le serveur conserve le secret et l'utilise pour générer les codes TOTP.
L'utilisateur scanne le code QR à l'aide d'un outil d'authentification pouvant être une appli téléphonique dédiée ou une fonctionnalité d'un gestionnaire de mots de passe. L'outil d'authentification disposant désormais de l'algorithme secret, il calcule exactement les mêmes codes à six chiffres que le serveur.
Une fois configuré, l'algorithme s'exécute simultanément sur le serveur et sur l'outil d'authentification de l'utilisateur, produisant les mêmes codes à six chiffres au même moment.
Lorsqu'il se connecte, l'utilisateur saisit le code qui s'affiche au même moment sur son outil d'authentification. Le serveur compare alors le code qu'il a calculé à celui de l'utilisateur. Si ceux-ci correspondent, l'utilisateur est vérifié et autorisé à accéder.
Comment utiliser TOTP
Voici les étapes à suivre pour utiliser TOTP :
Choisissez votre outil d'authentification. Nous préconisons l'utilisation d'un gestionnaire de mots de passe pour générer vos codes TOTP. Le processus de connexion s'en trouvera ainsi simplifié et vous n'aurez pas besoin d'utiliser plusieurs appareils juste pour vous connecter.
Demandez un algorithme secret depuis votre compte. Connectez-vous à votre compte et trouvez les paramètres de sécurité. Si les codes TOTP figurent parmi les options MFA de votre compte, vous verrez un paramètre vous permettant de demander un code QR.
Scannez le code QR avec votre outil d'identification. Quelle que soit l'application utilisée, vous pourrez scanner le code QR, très probablement via la caméra de votre téléphone ou une fonctionnalité de capture d'écran.
Vous êtes prêt ! À chaque fois que vous vous connectez et que le serveur demande un code d'authentification, consultez votre outil d'authentification pour trouver le code affiché. Veillez à saisir celui-ci avant que le délai ne soit écoulé et que le code ne change (généralement toutes les 30 à 60 secondes).
Pourquoi vous devriez utiliser l'authentification TOTP
TOTP est l'une des formes d'authentification à plusieurs facteurs. La MFA est recommandée pour tous les comptes. Voyez-la comme une couche de sécurité supplémentaire pour votre mot de passe ! Si quelqu'un obtient un mot de passe et tente de se connecter à un compte sur lequel la MFA est activée, il ne pourra pas y accéder sans la deuxième méthode d'authentification.
Des mots de passe sont régulièrement compromis dans des fuites de données énormes et autres cyberattaques. Ceci rend la MFA vitale. Si vous n'utilisez pas la MFA sur vos comptes, les cybercriminels peuvent facilement se connecter avec des identifiants volés et accéder à vos données confidentielles.
Ce qui fait de TOTP l'une des formes les plus sûres de MFA, c'est le fait que les codes soient calculés de façon indépendante par les deux parties. Ainsi, celles-ci n'ont pas besoin de s'échanger les codes. Le code ne peut être intercepté tant que l'algorithme reste secret. Le fait que le code change aussi souvent crée une couche de sécurité supplémentaire.
Par rapport à un code de vérification traditionnel, généralement envoyé par e-mail ou SMS, TOTP est beaucoup plus sûr. En effet, les e-mails et les SMS ne sont pas chiffrés et peuvent être interceptés facilement par des cybercriminels.
OTP vs TOTP vs HOTP
La différence entre OTP, TOTP et HOTP est le type de facteur utilisé pour calculer le code du mot de passe obtenu.
Un mot de passe à usage unique (OTP) est un terme générique désignant tout type de code à usage unique utilisé pour l'authentification. Ces codes de vérification peuvent être générés par différents moyens, dont certains sont plus sécurisés que d'autres.
Comme nous l'avons vu, TOTP est un type d'OTP qui utilise le temps comme facteur pour calculer le code. Le facteur change avec le temps, ce qui veut dire qu'un nouveau code est généré toutes les 30 à 60 secondes. Sa fréquence de changement élevée fait de TOTP le type d'OTP le plus sécurisé.
Les mots de passe à usage unique basés sur le hachage (HOTP) fonctionnent de la même manière, mais utilisent un facteur différent pour calculer le code, en l'occurrence un code d'authentification des messages basé sur le hachage (HMAC). Le HMAC compte le nombre de fois où un code est demandé et s'en sert pour calculer le code. Le code change à chaque fois qu'un code est demandé, au lieu de toutes les 30 à 60 secondes.
Les mots de passe uniques basés sur le temps offrent une solution pratique pour sécuriser vos comptes. Keeper Password Manager permet de configurer TOTP pour tous vos comptes en toute simplicité, tout en générant des mots de passe robustes. Avec KeeperFill, le processus de connexion est un jeu d'enfant. Keeper renseigne automatiquement votre mot de passe et vos codes TOTP pour sécuriser vos comptes sans les inconvénients des autres méthodes de MFA.