Mot de passe à usage unique basé sur le temps (TOTP)

Aussi appelé: RFC 6238, OTP temporel

Algorithme de mot de passe à usage unique défini par la RFC 6238 qui dérive un code court d'un secret partagé et de l'heure courante, renouvelé toutes les 30 secondes.

Le TOTP est un mécanisme de second facteur très répandu : l'application d'authentification de l'utilisateur (Google Authenticator, Authy, 1Password) et le serveur partagent une même graine symétrique et calculent le même hachage HMAC-SHA1 sur le temps Unix courant divisé en fenêtres de 30 secondes. Le code visible de 6 à 8 chiffres change automatiquement et n'est valide que brièvement, ce qui limite la valeur d'un code observé ou hameçonné. Le TOTP fonctionne hors ligne une fois la graine provisionnée, généralement via un QR code. Ses principales faiblesses sont les proxys d'hameçonnage en temps réel (AiTM) qui relaient les codes, les logiciels malveillants sur l'appareil et la compromission de la graine côté serveur ; lorsque c'est possible, on privilégie FIDO2 et les passkeys.

Exemples

Scanner un QR code dans Google Authenticator pour activer la 2FA sur un compte GitHub.
Saisir un code à 6 chiffres d'une appli d'authentification lors de la connexion à un portail bancaire.

Mot de passe à usage unique basé sur le temps (TOTP)

Exemples

Termes liés

Mot de passe à usage unique (OTP)

Mot de passe à usage unique basé sur HMAC (HOTP)

Authentification multifacteur (MFA)

Authentification à deux facteurs (2FA)

FIDO2

Passkey

Définition

Exemples

Termes liés

Mot de passe à usage unique (OTP)

Mot de passe à usage unique basé sur HMAC (HOTP)

Authentification multifacteur (MFA)

Authentification à deux facteurs (2FA)

FIDO2

Passkey