Definition

Jeton OTP

Un jeton (ou Token) à mot de passe à usage unique (jeton OTP) est un dispositif de sécurité ou un programme informatique qui produit de nouveaux mots de passe ou codes à usage unique à des intervalles de temps déterminés.

A l'origine, les jetons à mot de passe à usage unique étaient des dispositifs matériels (des clés électroniques, par exemple). Ils sont désormais plus répandus sur les applications mobiles. Les jetons à mot de passe, quelle que soit leur version, logicielle ou matérielle, sont programmés pour que les anciens mots de passe expirent et que d'autres soient créés, le tout à intervalles donnés.

Les mots de passe produits par les jetons OTP sont souvent utilisés dans le cadre de l'authentification multifacteur, où ils renforcent la sécurité en ajoutant une identification forte à la connexion. Ces informations d'identification ne doivent pas être mémorisées et nécessitent uniquement l'utilisation d'un appareil, en général un smartphone. Ce système renforce la sécurité en ajoutant au processus de connexion le facteur d'authentification de possession (quelque chose que vous possédez).

La finalité des mots de passe à usage unique consiste à atténuer le risque de vol d'un mot de passe en limitant sa durée d'utilisation. Il n'en reste pas moins que les appareils eux-mêmes peuvent être volés et que les données de connexion sont susceptibles de subir des attaques de type Man-In-The-Middle, au cours desquelles un pirate informatique intercepte la valeur du jeton en temps réel, avec l'ID et le mot de passe de l'utilisateur.

Toutefois, au regard du peu de temps dont dispose un attaquant pour utiliser la valeur du jeton OTP volé, ce type de jeton est largement considéré comme fiable dans le cadre d’une authentification à deux facteurs, car il renforce la protection contre les attaquants.

Signaler rapidement la disparition d'un appareil permet de limiter les conséquences des vols.

Cette définition a été mise à jour en janvier 2017

Pour approfondir sur Protection du terminal et EDR