Quels sont les critères de choix de la longueur et du format des OTP ?

FAQ Administrateur >  Gérer les paramètres d'un service

Dans l'onglet 'Gestion des services' > 'Gestion des paramètres du service' de la console d'administration, vous pouvez définir le format et la longueur des OTP (mots de passe à usage unique) générés par les différents moyens d'authentification In-Webo.

Les formats actuellement proposés sont chiffres uniquement, ou chiffres et lettres "case insensitive", c'est-à-dire que la plate-forme In-Webo considère minuscules et majuscules de façon indifférenciée. Choisir le format vous permet soit de respecter des contraintes du champ "mot de passe" de votre formulaire d'authentification existant, soit de vous adapter au canal via lequel l'OTP est transmis par l'utilisateur, par exemple uniquement des chiffres si l'utilisateur doit saisir l'OTP sur un clavier téléphonique.

La longueur de l'OTP influence directement sa sécurité, que l'on peut définir comme la probabilité de trouver par hasard un OTP valide pour un utilisateur donné. Plus l'OTP est long, plus il est sûr, mais plus il est fastidieux à saisir par vos utilisateurs (cas où l'OTP est généré avec nCode). Précisons enfin que pour une même longueur (nombre de caractères identique), un OTP dont le format est chiffres et lettres est plus sûr qu'un OTP dont le format est chiffres uniquement.

Ceci est synthétisé dans les tableaux ci-dessous :

InWebo nCode ...   ...   ................. InWebo PC & Mac ...   ...  
Format   Probabilité   Solutions   Format   Probabilité   Solutions
7C   6,1E-05   IG   7C   -   -
8C   8,6E-06   E/ST   8C   1,2E-07   E/ST/IG
6LC   9,5E-07   E/ST   6LC   -   -
7LC   4,8E-07   E/ST   7LC   -   -
8LC   1,19E-07   E/ST   8LC   3,6E-12   E/ST
20LC   -   -   20LC   7,9E-31   E/ST
  • 'C' désigne le format chiffres uniquement, 'LC' désigne chiffres et lettres.
  • La probabilité fournie est celle de trouver au hasard un OTP valide pour un utilisateur donné.
  • Les solutions listées sont celles pour lesquelles le format est proposé. 'IG' désigne la solution In-Webo Identity Guard, 'ST' désigne In-Webo Safe Transactions, 'E' désigne In-Webo Entreprise.

Pour plus de détails sur les protocoles d'authentification mis en oeuvre et leur sécurité, prenez contact avec l'équipe In-Webo via le formulaire contact.