5 générateurs de mots de passe uniques gratuits pour iPhone, Android et autres appareils
Les jetons de mot de passe à usage unique (OTP) sont souvent considérés comme le nec plus ultra en matière de sécurité de connexion utile pour les consommateurs. Ils constituent un élément essentiel de l’utilisation d’un système d’authentification à deux facteurs qui améliore considérablement la sécurité de la connexion à partir d’un système typique à facteur unique de nom d’utilisateur/mot de passe.
Les systèmes de sécurité par nom d’utilisateur/mot de passe sont considérés comme très peu sûrs pour un certain nombre de raisons, notamment le reniflage de paquets ou de frappes, les attaques de phishing et d’autres problèmes d’ingénierie sociale. Les schémas d’authentification à deux facteurs ajoutent une autre couche de sécurité en permettant aux utilisateurs de récupérer un autre mot de passe à partir d’une source hors bande telle qu’un dispositif générant un mot de passe (tel qu’un jeton OTP) ou un SMS.
Étant donné que ce mot de passe est changé régulièrement, il est presque impossible pour un pirate informatique potentiel de voler votre nom d’utilisateur et votre mot de passe et de se connecter sans ce jeton.
Ces jetons sont généralement payés parce qu’il s’agit d’appareils physiques, mais avec l’augmentation récente des applications disponibles pour les appareils mobiles, de nombreux fournisseurs OTP proposent désormais des applications gratuites à la place des appareils physiques.
Voici quelques-uns des générateurs de mots de passe les plus populaires que j’ai rencontrés, ainsi que des exemples de captures d’écran :
Accès VeriSign Identity Protection (VIP) pour les appareils mobiles
Verisign est l’un des plus grands fournisseurs de jetons de mot de passe physiques à usage unique. Leurs jetons matériels sont peu coûteux pour les utilisateurs finaux et peuvent être utilisés sur de nombreux sites en ligne populaires, notamment eBay, SalesForce, Box.net, Paypal, etc. Vous pouvez commander une clé à faible coût (5 $) auprès de Paypal ou, comme je l’ai récemment découvert, télécharger une application mobile gratuite.
Faire une vidéo du jour
Verisign fournit des logiciels pour une variété d’appareils mobiles, notamment iPhone, Android, Windows Mobile, Blackberry, etc. Il vous suffit de télécharger le logiciel et d’exécuter le générateur de mot de passe – lors de la première exécution, une signature unique est générée et enregistrée sur les serveurs de VeriSign. Votre appareil possède un identifiant unique, que vous enregistrez ensuite lorsque vous vous connectez sur un site externe.
Après cela, chaque fois que vous ouvrez le programme, il vous montrera le mot de passe actuel utilisé lors de l’authentification à deux facteurs. Facile.
ID sécurisé RSA [Broken URL Removed]
Un autre acteur important dans l’espace d’authentification à deux facteurs est RSA. RSA était en fait un pionnier dans le domaine de la sécurité, brevetant une méthode de cryptage des données des canaux de communication en 1983 et l’ouvrant en 2000.
Tout comme l’application VeriSign, RSA a distribué gratuitement son application SecureID sur iPhone, Blackberry, Windows Mobile et quelques autres plates-formes. Malheureusement, à cette date de sortie, ils n’ont pas publié d’application sur la plate-forme Android. Vous disposez également d’une solution RSA pour utiliser le générateur OTP mobile, ce sera depuis votre lieu de travail, votre banque ou tout autre identifiant qui pourrait avoir besoin de protection.
Les solutions RSA sont utilisées dans le monde entier.
FireID est une startup dans le domaine de l’authentification à deux facteurs. Bien que nouveau dans le domaine, ils ont une très bonne application iPhone. Leur site Web indique qu’ils prennent également en charge les appareils Blackberry, Android, Windows Mobile et Symbian, mais je ne trouve aucune information sur ces produits et je ne sais pas s’ils sont déjà sortis.
Ils sont définitivement une entreprise qui mérite votre attention.
ArcotOTP [No Longer Available]
ArcotOTP est un autre générateur de mot de passe à usage unique. Bien qu’Arcot ne soit pas aussi connue que d’autres entreprises, il s’agit d’une entreprise « montante » dans le domaine et compte le vénérable Bruce Schneier comme conseiller de l’entreprise. ArcotOTP est une technologie propriétaire et vous devez utiliser le logiciel fourni avec la solution ArcotOTP.
SafeNet propose une suite diversifiée de solutions de sécurité et d’authentification, ainsi que de nombreuses applications OTP pour plusieurs plates-formes, notamment iPhone, Blackberry, Windows Mobile et SMS. Notamment, Android est absent de cette liste.
Bien que ce qui précède ne soit pas une liste complète des générateurs OTP mobiles gratuits, cela vous donne une idée de certains des principaux acteurs de l’espace et des solutions les plus populaires qui offrent des clients mobiles plutôt que des jetons matériels. Il existe de nombreux fournisseurs OTP, chacun avec sa propre plate-forme pour sécuriser les connexions.
VeriSign est probablement celui que vous connaissez le mieux et a le taux d’adoption le plus élevé pour le commerce électronique, car Paypal/eBay, Salesforce et d’autres applications Web populaires les utilisent. L’application gratuite que vous utiliserez peut dépendre des sites Web auxquels vous devez vous connecter et du plan à deux facteurs qu’ils utilisent.
Quelle que soit la méthode que vous préférez pour mettre en œuvre l’authentification à deux facteurs, ces applications gratuites vous orientent vers des fournisseurs qui ont avancé dans l’état d’esprit de « convergence du mobile », vous permettant de renoncer à des jetons séparés et d’utiliser un seul appareil pour augmenter votre sécurité de connexion.
Faites-nous savoir à quel point vous trouvez ces générateurs de mots de passe faciles à utiliser ou quels autres systèmes de sécurité vous utilisez pour protéger vos mots de passe.
[ As a postscript, I just wanted to point out that two-factor authentication has a gaping hole in it – a Man in the Middle attack is still able to defeat this authentication scheme. Basically, an attacker sits in between you (logging in) and the server, passing along your information to the legitimate server including the one time password. This is a fairly obscure security issue for the general consumer, so adding two factor authentication to your login processes does afford much greater security than a regular one factor scheme. ]
Crédit photo : Mike Baird.
A propos de l’auteur
