Un mot de passe à usage unique est un code qui ne peut être utilisé qu'une seule fois pour accéder à un service, un nouveau mot de passe à usage unique doit être généré pour pouvoir se reconnecter. Le mot de passe à usage unique peut être généré par divers moyens tels qu'une application mobile, un jeton de sécurité physique, un SMS, etc. Ces jetons sont normalement valides pendant une courte période avant d'être actualisés et remplacés par un nouveau jeton.
Technipages explique le mot de passe à usage unique
En exigeant un mot de passe à usage unique comme deuxième facteur, la sécurité est renforcée de deux manières: Premièrement, un attaquant doit désormais connaître à la fois le mot de passe et avoir accès au mot de passe à usage unique correct. Deuxièmement, si l'attaquant est capable d'effectuer une attaque man in the middle et de compromettre le mot de passe et le mot de passe à usage unique, le mot de passe à usage unique ne sera pas valide pour une deuxième utilisation dans une attaque par rejeu.
Les systèmes de mot de passe à usage unique sont relativement bon marché et généralement gratuits pour l'utilisateur final en fonction du produit, bien que les entreprises puissent payer pour les licences des employés. Les services qui utilisent une application mobile ou un SMS sont normalement gratuits pour les utilisateurs, les services avec un jeton de sécurité physique comme le jeton RSA ont un coût associé.
L'utilisation du SMS comme deuxième facteur dans le processus de vérification à deux facteurs fournissant le code d'accès à usage unique comporte un faible risque car il existe des moyens d'intercepter et d'utiliser des messages par un attaquant, bien que ces attaques soient assez complexe. La communauté de la sécurité conseille généralement qu'il est préférable de SMS que de ne pas utiliser de code d'accès unique à un deuxième facteur, mais que d'autres plates-formes sont généralement plus sécurisées et doivent être préférées.
Utilisations courantes du mot de passe à usage unique
- Les jetons de sécurité matériels implémentent généralement un mot de passe à usage unique synchronisé dans le temps
- Certaines banques envoient un mot de passe à usage unique imprimé aux nouveaux utilisateurs de leurs systèmes bancaires en ligne.
- Le plus souvent, les mots de passe à usage unique font partie d'un système d'authentification à deux facteurs.
Utilisations abusives courantes du mot de passe à usage unique
- Les mots de passe à usage unique ne sont utilisés que pour les comptes jetables.