L'acronyme OTP est utilisé pour désigner deux choses différentes dans le domaine de la sécurité informatique. L'ancienne signification est "One Time Pad", dans les contextes modernes, il est beaucoup plus susceptible de se référer à "One Time Password/Passcode/PIN". Comme vous pouvez probablement le deviner à partir de l'utilisation commune du terme "One Time", il existe certaines similitudes.
One Time Pad - bases
Un One Time Pad est une méthode de cryptage. Théoriquement, il est parfaitement sécurisé et impossible à craquer. Il n'est cependant pas largement utilisé car il présente une variété de limitations et d'exigences qui entravent sérieusement sa viabilité dans la pratique. Le premier problème est que le pad nécessite que la clé de cryptage sur le pad soit vraiment aléatoire. Même les générateurs de nombres pseudo-aléatoires PRNG utilisés à d'autres fins cryptographiques ne sont pas suffisamment aléatoires pour être sécurisés. Tout niveau de prévisibilité dans le matériel clé compromet la prémisse du secret parfait.
Le processus de génération de clé doit être entièrement sécurisé. De plus, la méthode de communication du One Time Pad doit être sécurisée. Toutes les parties doivent alors également continuer à stocker en toute sécurité les One Time Pads. Les clés à usage unique utilisées doivent également être éliminées en toute sécurité. Un One Time Pad n'offre aucun mécanisme d'authentification. Un attaquant connaissant le texte en clair et le texte chiffré peut récupérer la clé. Ils peuvent ensuite l'utiliser pour générer un texte chiffré différent, tant qu'ils gardent le message de la même taille ou plus court. Enfin, le message en cours de chiffrement ne peut être aussi long que la clé pré-générée.
L'utilisation du terme "pad" vient du fait que dans la plupart des cas d'utilisation, une série de clés à usage unique de taille décente est distribuée. Un format utile est celui d'un bloc-notes avec une clé unique sur chaque page. Lorsqu'un message doit être chiffré, la page la plus haute est utilisée. la page est ensuite généralement supprimée et détruite pour éviter qu'elle ne soit compromise ou réutilisée.
One Time Pad – complications
En pratique, le fait que le One Time Pad doive être généré, communiqué et stocké de manière sécurisée, comme tout secret partagé, rend son utilisation très difficile. Par exemple, un One Time Pad est aussi sûr que la méthode de communication. Si vous comptez sur HTTPS pour communiquer en toute sécurité avec le pad, un adversaire ayant la capacité de casser ce cryptage TLS pour obtenir le pad n'aurait alors plus de problème pour décoder les messages. En tant que tel, un pad à communication numérique n'offre aucune sécurité supplémentaire. Lors de l'utilisation d'une méthode de transmission physique, c'est-à-dire un courrier ou un point mort, le pad est soit sécurisé, soit il ne l'est pas. Cela rend les pads physiques beaucoup plus utiles que les pads numériques. De plus, les One Time Pads informatisés sont beaucoup plus difficiles à supprimer en toute sécurité et font face à des problèmes de rémanence des données.
Si un One Time Pad est compromis, il peut être utilisé pour déchiffrer les messages passés. Pour éviter cela, une page est généralement détruite, souvent brûlée. Cela empêche la clé d'être réutilisée ou d'être découverte. En supposant qu'un pad soit compromis mais que la pratique de destruction soit suivie, les messages passés ne peuvent pas être déchiffrés. Les futurs messages, cependant, pourraient alors être déchiffrés.
En pratique, la cryptographie moderne est généralement plus que suffisamment sécurisée. Un avantage d'un One Time Pad est qu'il peut être utilisé à la main. La cryptographie moderne est très complexe et nécessite un ordinateur pour être utilisée efficacement. Cela rend One Time Pads utile dans les environnements d'espionnage lorsque des messages doivent être envoyés sans utiliser Internet ou des ordinateurs. Pendant la guerre froide, les espions utilisaient souvent des tampons ponctuels imprimés sur du papier flash. Étant en nitrocellulose, une page usagée peut être brûlée très rapidement sans générer de fumée.
Mot de passe à usage unique
Un mot de passe à usage unique est une chaîne secrète qui peut être utilisée pour l'authentification. Il doit rester secret, cependant, contrairement à un One Time Pad, il ne peut pas être utilisé pour chiffrer quoi que ce soit et n'a aucune exigence spécifique de caractère aléatoire. Un cas d'utilisation courant des mots de passe à usage unique est l'authentification à deux facteurs. Par exemple, une application d'authentification à deux facteurs génère un code à usage unique basé sur l'heure et un secret pour confirmer votre identité. Le mot de passe à usage unique ne doit même pas nécessairement être unique. Les codes à deux facteurs sont souvent à six chiffres. Cela fournit suffisamment de hasard pour qu'il soit extrêmement improbable qu'un attaquant puisse en deviner un valide au bon moment.
Certaines entreprises, telles que les banques, peuvent également pré-générer une liste de mots de passe à usage unique et les envoyer à leurs clients pour les utiliser avec les services bancaires en ligne. Les mots de passe à usage unique dans ce cas ne peuvent pas être les mêmes pour tout le monde, mais ne doivent pas nécessairement être uniques à 100 % dans tous les cas.
Les mots de passe à usage unique peuvent être quelque peu maladroits du point de vue de l'expérience utilisateur. Les mots de passe doivent être transmis et stockés en toute sécurité, ou être générés en toute sécurité. L'hameçonnage est également un risque, tandis que les mots de passe à usage unique ajoutent une couche supplémentaire d'opportunités pour qu'un utilisateur ne tombe pas dans le piège de l'hameçonnage, un utilisateur qui a déjà été convaincu de remettre son nom d'utilisateur et son mot de passe remettra généralement également le mot de passe à usage unique.
Conclusion
En sécurité informatique, OTP signifie One Time Pad ou One Time Password. Un One Time Pad est une technique de cryptage qui offre un secret parfait. Il a cependant un certain nombre d'exigences qui le rendent difficile à utiliser dans la pratique et sont généralement très délicats à mettre en œuvre correctement sur les ordinateurs. Les One Time Pads peuvent cependant être utilisés à la main, ce qui les rend utiles pour l'espionnage à l'ancienne. Les mots de passe à usage unique sont des chaînes secrètes qui peuvent être utilisées pour vous connecter. ils peuvent fonctionner avec ou à la place d'un mot de passe traditionnel. L'authentification à deux facteurs est un exemple d'implémentation de mots de passe à usage unique.