Question 1

Quelle est la différence entre TOTP et HOTP?

Accepted Answer

TOTP (OTP basé sur le temps) génère un nouveau code à 6 chiffres toutes les 30 secondes en utilisant l'horodatage actuel comme entrée — c'est ce qu'utilisent les applications d'authentification comme Google Authenticator. HOTP (OTP basé sur HMAC) génère des codes basés sur une valeur de compteur qui s'incrémente à chaque utilisation, rendant chaque code valide jusqu'à son utilisation plutôt que d'expirer dans le temps.

Question 2

Est-il sûr de générer des OTP dans le navigateur?

Accepted Answer

Cet outil utilise l'API Web Crypto avec HMAC-SHA1 entièrement dans votre navigateur — votre clé secrète ne quitte jamais votre appareil. Cependant, stocker la clé secrète dans un outil de navigateur est moins sécurisé qu'une application d'authentification dédiée (comme Authy ou Google Authenticator) qui stocke les secrets dans un stockage d'application protégé, parfois avec verrouillage biométrique.

Question 3

Dans quel format doit être la clé secrète?

Accepted Answer

La clé secrète doit être en encodage Base32 — en utilisant les caractères A-Z et 2-7, avec des caractères de rembourrage optionnels `=`. La plupart des QR codes de configuration 2FA encodent le secret en Base32 dans un URI otpauth://. Les longueurs de secret typiques sont de 16 ou 32 caractères (80 ou 160 bits).

Question 4

Pourquoi TOTP a-t-il une fenêtre de 30 secondes?

Accepted Answer

RFC 6238 définit le pas de temps par défaut à 30 secondes comme équilibre entre utilisabilité (assez de temps pour lire et taper le code) et sécurité (assez court pour qu'un code volé ne puisse pas être utilisé longtemps). La plupart des serveurs acceptent également les codes des fenêtres temporelles adjacentes (±30 s) pour permettre une légère dérive de l'horloge.

Question 5

À quoi sert un URI otpauth://?

Accepted Answer

Un URI otpauth:// encode tous les paramètres nécessaires pour ajouter un compte à une application d'authentification — le type (totp/hotp), l'émetteur, le nom du compte, le secret, l'algorithme, le nombre de chiffres et la période. Lorsque cet URI est encodé en QR code, les applications d'authentification peuvent le scanner pour se configurer automatiquement.

Générateur OTP

Questions Fréquentes

Comments & Feedback