Passer au contenu général

Un mot de passe à usage unique OTP est une chaîne de chiffres et/ou de caractèresnenvoyée qui peut être utilisée lors d’une seule tentative de connexion.

Quels sont les avantages des MPUU ?

Les MPUU réduisent le risque lié aux mots de passe.

Mots de passe oubliés : l’une des utilisations les plus courantes des MPUU est le cas d’un utilisateur qui a oublié son mot de passe ou dont le compte a été piraté. Un MPUU peut être délivré à l’utilisateur pour accéder à son compte avant qu’il ne soit invité à réinitialiser son mot de passe.

Attaques par relecture : dans une attaque par rejeu, les informations d’identification d’un utilisateur, y compris son mot de passe, sont interceptées. Si le mot de passe est statique, le pirate a alors accès au compte de cet utilisateur. Mais lorsqu’un MPUU est utilisé, le mot de passe intercepté par le pirate n’est plus valide car il a déjà été utilisé une fois lorsque l’utilisateur s’est connecté à son compte et ne peut donc plus être réutilisé.

Authentification multifactorielle : les MPUU peuvent ajouter une couche supplémentaire d’authentification. À l’aide de jetons de sécurité, des MPUU peuvent être générés pour que les utilisateurs les fournissent comme forme d’authentification supplémentaire, ce qui renforce la sécurité et réduit le risque de violation.

Quels sont les types de MPUU ?

MPUU basé sur le hachage (HOTP) : ce type d’OTP est généré et envoyé à un utilisateur sur la base d’un algorithme de hachage qui synchronise le code MPUU avec un compteur qui change de manière incrémentielle chaque fois que l’utilisateur obtient un accès.

illustration de l’OTP basé sur le hachage (HOTP)

MPUU basé sur le temps (MPUUT) : ce type de MPUU est basé sur le temps, en ce sens qu’il fournit une fenêtre de temps pendant laquelle le code du MPUU sera valide. En général, les intervalles de temps sont d’une durée de 30 à 60 secondes. Si l’utilisateur ne saisit pas le code MPUU dans le laps de temps spécifié, il doit en demander un nouveau.

illustration de l’OTP basé sur le temps (TOTP)

Comment les MPUU sont-ils fournis aux utilisateurs en toute sécurité ?

Les MPUU sont générés et envoyés aux utilisateurs de manière sécurisée en utilisant des jetons de sécurité.

Jetons matériels : les cartes à puce, les clés USB, les systèmes d’entrée sans clé, les téléphones portables et les jetons Bluetooth sont tous capables de générer des OTP. Un jeton dur peut être connecté, déconnecté ou totalement sans contact.

Jetons souples : une notification push par e-mail, par SMS ou par une application est la forme la plus courante de jeton souple MPUU.

MPUU par rapport à l’A2F

Quelle est la différence entre un MPUU et une A2F ?

Un MPUU peut être utilisé comme une forme de A2F/AMF, mais il peut également être utilisé au-delà comme un mécanisme de sécurité autonome où un utilisateur reçoit un MPUU pour chaque connexion. Ces termes ne doivent donc pas être utilisés comme synonymes, car le MPUU n’est qu’une des nombreuses formes d’A2F/AMF et peut également être utilisé comme solution de sécurité autonome.

Un OTP est-il plus sûr qu’un mot de passe statique ?

Oui. Les MPUU ajoutent une couche de sécurité supplémentaire aux mots de passe statiques. Les mots de passe seuls sont une forme vulnérable de vérification d’identité, responsable de 81 % des violations de sécurité. L’ajout d’une couche supplémentaire d’authentification aux mots de passe garantit une meilleure sécurité. Bien sûr, vous pouvez vous débarrasser complètement des mots de passe en adoptant un système sans mot de passe.

Entrust offre-t-il des MPUU ?

Oui. Entrust offre une large gamme de solutions d’authentification qui inclut les MPUU.

Qu’est-ce que la gestion des identités et des accès ?

La gestion des identités et des accès (IAM) est un cadre de politiques et de technologies relatives à la sécurité qui garantit l’accès des bonnes entités aux bonnes ressources au bon moment.

Une entité peut être une personne ou un dispositif. Les ressources comprennent les applications, les réseaux, l’infrastructure et les données. L’IAM peut s’appliquer aux cas d’utilisation de main-d’œuvre, de consommateurs et de citoyens.

La GIA repose sur le principe de l’établissement et du maintien d’identités numériques de confiance. Avec la GIA, les organisations peuvent authentifier et autoriser des entités pour leur accorder un accès sécurisé aux bonnes ressources. De plus, la confiance est maintenue au fil du temps avec l’authentification adaptative basée sur les risques qui introduit un contrôle supplémentaire lorsque les conditions le justifient.