Qu'est-ce qu'un mot de passe à usage unique (OTP) ?
Un mot de passe à usage unique (OTP) est un mot de passe valable pour une seule utilisation permettant d'accéder à un système informatique.
Les mots de passe fixes traditionnels sont vulnérables aux accès non autorisé s’ils sont divulgués à des tiers. Les violations de mot de passe peuvent se produire en raison d'écoutes clandestines sur les canaux de communication, d'attaques par force brute sur une longue période et d'autres méthodes, souvent à l'insu de l'utilisateur légitime. En revanche, un mot de passe à usage unique n'est valable que pour une seule utilisation, ce qui le rend très efficace pour empêcher accès non autorisé en raison de fuites de mots de passe. Les OTP sont largement utilisés dans les scénarios nécessitant une sécurité élevée, tels que les services bancaires en ligne, les applications de messagerie électronique basées sur le Web et les jeux en ligne.
Dans les implémentations précédentes, les OTP étaient généralement générés à l’aide de jetons matériels dédiés. Ces jetons synchronisent leurs horloges avec le système auquel on accède et génèrent périodiquement un nouveau numéro (OTP). Les utilisateurs activent le jeton lors de la connexion, récupèrent l'OTP affiché et l'utilisent comme mot de passe de connexion. Cette méthode est connue sous le nom d’OTP synchronisé dans le temps.
Plus récemment, la méthode OTP de type défi-réponse a gagné en popularité, les smartphones étant un outil courant pour cette approche. Dans ce processus, les utilisateurs préenregistrent leur smartphone auprès du système cible. Lors de la connexion, ils saisissent d’abord leur identifiant et leur mot de passe. Le système envoie ensuite l'OTP sur le smartphone de l'utilisateur, généralement par SMS, e-mail ou via une application dédiée. L'utilisateur saisit l'OTP reçu sur l'écran de connexion pour finaliser le processus. Étant donné que ces systèmes utilisent deux couches d’authentification, ils sont souvent appelés vérification en deux étapes ou authentification à deux facteurs (2FA).
F5 BIG-IP Access Policy Manager (APM) facilite la mise en œuvre efficace des systèmes OTP de type challenge-response, améliorant ainsi la sécurité sans sacrifier la convivialité.