Qu’est-ce qu’un jeton de sécurité ?
Un jeton de sécurité est un dispositif physique ou numérique qui fournit une authentification à deux facteurs (2FA) à un utilisateur pour prouver son identité lors d’un processus de connexion. Il est généralement utilisé comme une forme d’identification pour l’accès physique ou comme une méthode d’accès au système informatique. Le jeton peut être un élément ou une carte qui affiche ou contient des informations de sécurité sur un utilisateur et peut être vérifié par le système.
Les jetons de sécurité peuvent être utilisés à la place ou en plus des mots de passe traditionnels. Ils sont le plus souvent utilisés pour accéder aux réseaux informatiques, mais peuvent également sécuriser l’accès physique aux bâtiments et servir de signatures électroniques pour les documents.
Comment fonctionnent les jetons de sécurité ?
Un jeton de sécurité fournit une authentification pour accéder à un système via tout périphérique qui génère un mot de passe. Cela peut inclure une carte à puce, une clé de bus série universelle, un appareil mobile ou une carte d’identification par radiofréquence. L’appareil génère un nouveau mot de passe chaque fois qu’il est utilisé, de sorte qu’un jeton de sécurité peut être utilisé pour se connecter à un ordinateur ou à un réseau privé virtuel en tapant le mot de passe généré par le jeton dans l’invite.
La technologie des jetons de sécurité est basée sur l’utilisation d’un périphérique qui génère un nombre aléatoire, le chiffre et l’envoie à un serveur avec des informations d’authentification de l’utilisateur. Le serveur renvoie ensuite une réponse chiffrée qui ne peut être déchiffrée que par l’appareil. L’appareil est réutilisé pour chaque authentification, de sorte que le serveur n’a pas à stocker d’informations de nom d’utilisateur ou de mot de passe, dans le but de rendre le système moins vulnérable au piratage.
Types de jetons de sécurité
Plusieurs types de jetons de sécurité sont utilisés pour sécuriser une variété d’actifs et d’applications. Ceux-ci comprennent les éléments suivants:
- Mots de passe à usage unique (OTP). Une forme de jeton de sécurité numérique, les OTP ne sont valables que pour une seule session de connexion, ce qui signifie qu’ils sont utilisés une fois et plus jamais. Après l’utilisation initiale, le serveur d’authentification est informé que l’OTP ne doit pas être réutilisé. Les OTP sont généralement générés à l’aide d’un algorithme cryptographique à partir d’une clé secrète partagée composée de deux éléments de données uniques et aléatoires. Un élément est un identifiant de session aléatoire et l’autre une clé secrète.
- Jetons déconnectés. Il s’agit d’une forme de jeton de sécurité numérique qui ne se connecte pas physiquement ou logiquement à un ordinateur. L’appareil peut générer un OTP ou d’autres informations d’identification. Une application de bureau qui envoie un message texte à un téléphone portable, que l’utilisateur doit saisir lors de la connexion, utilise un jeton déconnecté.
- Jetons connectés. Un jeton connecté est un objet physique qui se connecte directement à un ordinateur ou à un capteur. L’appareil lit le jeton connecté et accorde ou refuse l’accès. YubiKey est un exemple de jeton connecté.
- Jetons sans contact. Les jetons sans contact forment une connexion logique avec un ordinateur sans nécessiter de connexion physique. Ces jetons se connectent au système sans fil et accordent ou refusent l’accès via cette connexion. Par exemple, le Bluetooth est souvent utilisé comme méthode pour établir une connexion avec un jeton sans contact.
- Jetons logiciels d’authentification unique (SSO). Les jetons logiciels SSO stockent des informations numériques, telles qu’un nom d’utilisateur ou un mot de passe. Ils permettent aux personnes qui utilisent plusieurs systèmes informatiques et plusieurs services réseau de se connecter à chaque système sans avoir à se souvenir de plusieurs noms d’utilisateur et mots de passe.
- Jetons programmables. Un jeton de sécurité programmable génère à plusieurs reprises un code unique valide pendant une période spécifiée, souvent 30 secondes, pour fournir un accès à l’utilisateur. Par exemple, Amazon Web Services Security Token Service est une application qui génère des codes 2FA requis pour que les administrateurs de technologies de l’information puissent accéder à certaines ressources AWS cloud.
Avantages des jetons de sécurité
S’il est vrai que les mots de passe et les identifiants d’utilisateur restent la forme d’authentification la plus utilisée, les jetons de sécurité constituent une option plus sûre pour protéger les réseaux et les systèmes numériques. Le problème avec les mots de passe et les identifiants d’utilisateur est qu’ils ne sont pas toujours sécurisés. Les acteurs de la menace continuent d’affiner les méthodes et les outils de craquage des mots de passe, rendant les mots de passe vulnérables. Les données de mot de passe peuvent également être consultées ou volées lors d’une violation de données. De plus, les mots de passe sont souvent faciles à deviner, généralement parce qu’ils sont basés sur des informations personnelles facilement détectables.
Les jetons de sécurité, quant à eux, utilisent un identifiant physique ou numérique unique à l’utilisateur. La plupart des formulaires sont relativement faciles à utiliser et pratiques.
Vulnérabilités des jetons de sécurité
Bien que les jetons de sécurité offrent une variété d’avantages aux utilisateurs et aux organisations, ils peuvent également présenter des inconvénients. Le principal inconvénient des jetons de sécurité physique est qu’ils sont sujets à la perte et au vol. Par exemple, un jeton de sécurité peut être perdu lors d’un voyage ou volé par une partie non autorisée. Si un jeton de sécurité est perdu ou volé, il doit être désactivé et remplacé. En attendant, un utilisateur non autorisé en possession du jeton peut avoir accès à des informations et à des systèmes privilégiés.