OTP
Mot de passe à usage unique
Authentification deux facteurs sans installation sur le poste.
OTP est une solution simple d’authentification forte qui apporte une réponse efficace aux vulnérabilités des mots de passe statiques sans modifier l'infrastructure applicative.
OTP se positionne comme une solution de sécurité intermédiaire entre mots de passe et PKI:
| Méthode | Mot de passe | OTP + Mot de passe | U2F + Mot de passe | Certificats / PKI |
| Avantages | Couramment utilisé et supporté par un grand nombre d’applications. Technologie facilement comprise par les utilisateurs | Authentification à deux facteurs compatible avec les infrastructures basées sur les mots de passe : aucunes emprunte sur le poste client | Authentification Bidirectionnelle Deux facteurs. Plug and play | Authentification Bidirectionnelle Deux facteurs en option Non-répudiation |
| Inconvénients | Dépend du facteur humain et de la bonne gestion du secret. | Nécessite de posséder un générateur OTP logiciel ou matériel ou d’accéder à un second canal (SMS..) pour transmettre l’OTP | Nécessite une clé FIDO U2F USB ou NFC. Supporté par Chrome seulement | Frais de gestion de certificat pouvant être prohibitif pour une grande base d'utilisateurs. Empreinte importante à gérer sur le client. Non compatible avec les petits terminaux. Requiert la distribution de certificats, tokens ou cartes à puce. |
| Vulnérabilités | Force Brute Homme au Milieu, insertion de client, Phishing Ingénierie sociale Enregistreur de clavier. | Homme au Milieu, insertion de client. | Pas de PIN sur la clé physique qui doit être répudiée rapidement en cas de perte/vol. | Désactivation des alertes par l’utilisateur. Corruption de la base de certificats racine. |
| Applications | Environnements à faible risque Environnements anciens Pas d’utilisation réseau ou réseau protégé | B2C, Sécurité d’entreprise (VPN) Environnements inadapté à la PKI (infrastructure basé sur les mots de passe) | Sécurité des identifiants réseaux, Cloud. | Environnements hautement sécurisés transactions monétaires ou juridiques où la non-répudiation est une caractéristique nécessaire. Environnements où l'authentification mutuelle est requise. |
Serveur OTP FOAT
FOAT est constitué d’un logiciel serveur sous Windows ou Linux associé aux générateurs de jetons C100 ou C200 au format d’un porte clés.
L’offre FOAT est développée par Feitan, membre contributeur de « l’Initiative for Open Authentication » OATH qui réunit les leaders de l'industrie pour former des normes universelles d'authentification afin de créer des réseaux plus sécurisés pour les entreprises.
Serveurs OTP Open Source
Les C100 et C200 sont supportés par de nombreux projets Open Source comme LinOTP