Introduction:
Le protocole TOTP (Time-based One-Time Password) est un moyen d’authentification qui se présente sous la forme d’un mot de passe à usage unique (OTP).
Il est apparu en 2011 et fait partie des standards développés par l’Initiative for Open Authentication (OATH), un groupe de collaboration international qui vise à promouvoir l’authentification forte en open-source.
TOTP présente les avantages suivants :
- Ne requiert pas d’information personnelle ou adresse de contact de l’utilisateur (mail, numéro de téléphone, …)
- TOTP est open-source, il s’agit d’un standard, et est ainsi implémenté sous de nombreuses formes, et fonctionne indifféremment du support utilisé.
Il n’y a donc pas de contrainte concernant l’appareil (ordinateur, tablette, téléphone,..), ni l’environnement logiciel (Mac, Windows, Linux, …). - Le code généré est à usage unique (One-Time Password).
Si quelqu’un prend connaissance du mot de passe TOTP que vous venez de taper (interception réseau, récupération des frappes de clavier, …) , il/elle ne peut donc rien tirer de cette information. - Le support du logiciel TOTP n’a pas besoin d’internet.
L’accès entre ce logiciel implémenté par l’utilisateur et le serveur n’est nécessaire que pour la phase d’initialisation.
Conclusion:
TOTP fait donc partie des solutions viables et gratuites pour
améliorer la sécurité de l’authentification utilisateur à travers
l’ajout d’un facteur d’authentification supplémentaire et de nature
différente.
Les mots de passe traditionnels étant extrêmement vulnérables (risque
d’interception, faiblesse, réutilisation et prévisibilité des mots de
passe utilisés, non-renouvellement, …), l’implémentation d’une solution
de MFA/2FA est donc un gain considérable en terme de sécurité, et il y a
fort à parier que ce type de mécanisme devienne extrêmement répandu,
dans les contextes professionnels comme pour une utilisation personnelle
pour se prémunir des usurpations d’identités et des vols de données
toujours plus nombreux.
