Le mot de passe à usage unique : c'est pratique, mais ça a ses limites

Alexandre Boero
Chargé de l'actualité de Clubic
05 janvier 2022 à 17h15
10
Mot de passe

L'Alliance FIDO, qui reconnaît l'utilité du mot de passe à usage unique, s'inquiète du modèle même du password, pas à l'abri du piratage.

Ce petit code d'accès à six chiffres, appelé mot de passe à usage unique, s'avère, il est vrai, bien pratique pour s'authentifier sur un service en ligne, ou pour confirmer une transaction auprès de votre banque par exemple. S'il est populaire et bien utile, il souffre d'une limite : le mot de passe laisse des traces. L'Alliance FIDO, réputée pour ses solutions et protocoles d'authentification, milite toujours pour des normes tendant à réduire notre dépendance au mot de passe. Elle s'explique sur le sujet.

Le mot de passe à usage unique souffre des mêmes limites que le mot de passe traditionnel

Même s'il existe une échelle de sécurité qui dépend de facteurs comme la longueur ou la variété des caractères, le mot de passe le plus complexe peut faire l'objet d'une attaque rondement menée, ou être volé dans une base de données corrompue, puis exposé. Ce mot de passe peut se retrouver sur le dark web, où les pirates se l'échangent pour quelques centimes ou quelques euros.

De là, Andrew Shikiar, directeur exécutif de l'Alliance FIDO, nous dit que « toute forme d'authentification multifactorielle est préférable à l'utilisation des seuls mots de passe ». Selon lui, cette technique permettra « de déjouer la majorité des attaques à distance les plus courantes, comme le phishing ».

On pourrait croire que les mots de passe à usage unique constituent une solution de sécurité renforcée. Pour rappel, il s'agit d'un code unique, généralement à six chiffres, envoyé par SMS ou via des applications d'authentification, qui permet de vérifier l'identité de l'utilisateur. « Ces formes d'authentification multifacteur sont très populaires, parce qu'elles utilisent une technologie facilement disponible », explique Andrew Shikiar. Sauf qu'en fin de compte, le mot de passe à usage unique souffre des mêmes défauts et des mêmes limites que le mot de passe traditionnel. « Il s'agit toujours d'une forme d'authentification fondée sur la connaissance, qui repose sur la saisie par l'utilisateur d'un texte lisible par l'Homme qui doit correspondre au "secret" sur un serveur. »

Privilégier les méthodes d'authentification sans mot de passe

La durée est la différence majeure entre les mots de passe uniques et traditionnels. Mais les premiers cités, à la durée de vie courte, peuvent aussi être manipulés par des pirates, « soit par le biais d'attaques de phishing (où les pirates mettent en place une usurpation d'apparence réaliste d'un site qui transmet le code au vrai site en arrière-plan afin qu'ils puissent prendre le contrôle d'un compte d'utilisateur), soit par des moyens techniques tels que le "SIM Swapping", ou un logiciel de redirection de SIM, qu'ils peuvent facilement se procurer sur le dark web pour une poignée de dollars », détaille Andrew Shikiar.

Pour être pleinement efficace et sûre, l'authentification à plusieurs facteurs doit avant tout reposer, selon l'Alliance FIDO, sur la possession, plutôt que sur quelque chose que l'utilisateur connaît, comme le mot de passe. Une carte biométrique, une carte à puce ou une clé de sécurité présentent cet avantage de la possession. « Les cartes à puce stockent les informations d'identification et le code PIN d'un utilisateur. » Elles servent de clé pour authentifier l'utilisateur sur la carte quand le code PIN est saisi.

Andrew Shikiar ajoute que les méthodes d'authentification sans mot de passe, donc fondées sur la possession, restent à l'abri des attaques à distance et autre phishing. Les informations de l'utilisateur ne sont en effet pas stockées dans le Cloud ni sur un serveur d'entreprise, ce qui exclut qu'elles fassent l'objet d'une fuite de données. Elles sont aussi plus simples à retenir : « Au lieu de devoir retenir et gérer différents mots de passe, il suffit souvent d'appuyer sur un bouton pour s'authentifier en toute sécurité. »

Meilleur gestionnaire de mots de passe, le comparatif en février 2024

Il n'est jamais trop tard pour adopter les bons réflexes en ligne, n'est-ce pas ? La première étape consiste à télécharger un gestionnaire de mots de passe. Pour vous guider vers le meilleur choix, nous avons comparé ici les meilleurs d'entre eux en février 2024.
Lire la suite

Source : Alliance FIDO

Alexandre Boero

Alexandre Boero

Chargé de l'actualité de Clubic

Chargé de l'actualité de Clubic

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJC...

Lire d'autres articles

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM), pour écrire, interroger, filmer, monter et produire au quotidien. Des atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la prod' vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et Koh-Lanta :)

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (10)

Duben
Il faudrait déjà arrêter de nous demander des mots de passe dignes du FBI sur tous les sites. Si la plupart des sites étaient moins gourmands en données personnelles, ce serait pas utile.<br /> C’est une dérive qui fait que les gens finissent par avoir un mot de passe unique pour tous les sites qu’ils visitent. Pour la banque ok, pour les mails ok, pour les impots ok, pour des sites à services sensibles c’est tout à fait logique, mais pour des sites de news, de divertissement… aucun intérêt à avoir des authentification si fortes.<br /> il en résulte que quand on va sur un site lambda, on finit par y mettre le même mot de passe que sa banque. Parce que retenir autant de mots de passe compliqués qu’il y a de sites, c’est compliqué. Et la plupart des gens vont aller au plus simple et ne pas se tourner vers des solutions techniques qu’ils ne connaissent pas ou ne maitrisent pas
sirifa
J’ai des compte jetable pour les sites qui demande un compte sans grand intérêt comme sur clubic.<br /> Donc le mot de passe est aléatoire, je l’ai pas sauvegarder, je ne le connais pas, l’email est un email temporaire. Donc quand le token viendra a expiration (ce qui est vachement long) bien je referais un nouveau compte.
MPM2019
Eh les mecs vous n avez jamais entendu parler de Bitwarden ???<br /> J’ai un mdp différent sur 32 caractères pour chaque site. J en connais aucun et c est normal puisque je ne les saisis jamais, ni sur mon ordi ni sur mon téléphone. Et en plus c est gratos.<br /> Pour moi les pb de mdp c est la préhistoire de l informatique
alabifr
Pareil, sauf que moi c’est Keepass. Des mots de passe très longs, et quand c’est possible, authentification a deux facteurs avec Authy. Seulement voilà… les sites permettant la double authentification sont rares
juju251
Duben:<br /> Parce que retenir autant de mots de passe compliqués qu’il y a de sites, c’est compliqué.<br /> C’est compliqué, oui, en effet.<br /> Même avec une méthode de génération comme je me l’était fabriqué il y a quelques années, ça devient chaud, surtout quand certains sites ne permettent pas d’utiliser certains caractères ou en limitent le nombre (spéciale dédicace aux sites des banques ).<br /> Duben:<br /> Et la plupart des gens vont aller au plus simple et ne pas se tourner vers des solutions techniques qu’ils ne connaissent pas ou ne maitrisent pas<br /> Sauf que «&nbsp;le plus simple&nbsp;», en matière de sécurité c’est souvent catastrophique (genre, plus aucune sécurité quoi) …<br /> Quoi que l’on en dise, l’informatique reste un outil et son utilisation impose des contraintes.<br /> Bref, tout cela pour dire qu’utiliser un gestionnaire de mots de passe est à la portée de beaucoup de monde (ou sinon, il est encore possible d’utiliser un carnet ).
Winpoks
Vous êtes hors sujet là. Le sujet n’est pas votre mot de passe pour les sites, mais l’utilisation d’authentificateur comme Google Auth pour la double authentification.<br /> Ils recommandent l’utilisation de clefs de sécurité par exemple.<br /> Pour ma part j’en ai plusieurs que j’utilise pour la connexion à des sites persos ou serveurs distants. Par contre, il est toujours regrettable après plusieurs années qu’une majeurs parties de sites suggérant la double authentification ne le proposent pas plus. Les sites sont assez rares et ne proposent souvent qu’un authentificateur comme Authy, Google Auth ou Authentificator (microsoft) pour citer les plus importants.<br /> Et même du côté des gestionnaires de mot de passe, ce n’est pas par défaut. BitWarden commence à l’intégrer, mais ce n’est pas encore ça. Dashlane ne permet plus de l’utiliser sur ordinateur du fait de l’obligation de passer par leur plugin de navigateur qui reste incomplet au possible. Keepass lui le permet pleinement.
bossay
Les sites sont assez rares et ne proposent souvent qu’un authentificateur comme Authy, Google Auth ou Authentificator (microsoft) pour citer les plus importants.<br /> Si j’ai bien compris cette phrase, je partage une info utile: en général, quand un site propose le 2FA via une app, qu’il te propose(/impose) d’utiliser Google Authenticator, ou MS Authenticator, ou Authy, en fait tu peux toujours utiliser l’application de ton choix. C’est le même protocole entre les apps, et elles peuvent toutes scanner le QR Code fourni par le site en question.<br /> J’utilise et recommande Authy qui se synchronise sur plusieurs appareils si on le souhaite (on peut bloquer la fonctionnalité), là où Google Auth ou MS Authenticator te laissent penser qu’une fois que tu as scanné ton QR Code, c’est fini, tu es obligé d’utiliser cette app sur ce téléphone
Duben
Oui par plus simple, ce que je veux dire, c’est que si par exemple Clubic et Pornhub (c’est pour un ami) ne me laissent pas utiliser «&nbsp;azerty123&nbsp;» comme mot de passe, ce que je peux comprendre, et que l’un me dit il faut 8 caractères et 1 majuscule, l’autre me dit il faut 10 caractères, 1 majuscule, 1 caractère spécial… ben je vais finir par mettre pour les 2 le mot de passe sécurisé que j’ai pour ma banque et qui correspond aux 2 critères.<br /> C’est pas bien, mais c’est finalement la solution de simplicité car j’aurais qu’un seul mot de passe à retenir. Et c’est souvent la démarche pour l’utilisateur lambda parce que la majorité des gens n’a pas envie de se prendre la tête, même si on est d’accord, on devrait.<br /> Alors qu’au final, me faire piquer mon compte Clubic, ça m’est égal, j’ai rien de valeur dessus, à titre totalement personnel, je pourrais mettre 1234 comme mot de passe (mais j’ai bien conscience que la sécurité d’un site va plus loin que mon unique besoin).<br /> Mais ce que je veux dire par là, c’est qu’on est dans le cas de toute chose qui ne fonctionne pas, c’est que l’homme doit s’adapter à la machine et pas l’inverse ^^
jvachez
Le pire dans tout ça c’est que des sites sans importance demandent minuscules, majuscules, chiffres, caractères spéciaux alors que la banque c’est uniquement des chiffres à cause du clavier virtuel.<br /> Comme quoi un mot de passe complexe n’est pas nécessaire.
Winpoks
Ma phrase allait plutôt dans le sens ou ils ne proposaient souvent que l’usage d’une application pour le second facteur. Mais sinon oui, je savais que c’était la même chose.<br /> Jamais essayé Authy, je suis allé sur celui de MS, mais faudrait que je l’essai.
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Le mot de passe à usage unique : c'est pratique, mais ça a ses limites Le mot de passe à usage unique : c'est pratique, mais ça a ses limites
Découvrez comment votre carte SIM pourrait protéger vos données des hackers Découvrez comment votre carte SIM pourrait protéger vos données des hackers
Bientôt la fin des mots de passe ? Bientôt la fin des mots de passe ?
L'authentification multifacteur ne serait pas suffisante face aux hackers parrainés par la Russie L'authentification multifacteur ne serait pas suffisante face aux hackers parrainés par la Russie
Yubico annonce ses clés d'authentification Yubikeys avec capteur biométrique Yubico annonce ses clés d'authentification Yubikeys avec capteur biométrique