Même le mot de passe le plus complexe peut être victime d’une attaque bien conçue, il peut être exposé et volé dans une base de données corrompue. De fait, il est très probable qu’il soit déjà disponible pour les pirates qui l’achètent pour quelques centimes sur le dark web. Toute forme d’authentification multifactorielle est préférable à l’utilisation des seuls mots de passe et permettra de déjouer la majorité des attaques à distance les plus courantes, comme le phishing.

Les mots de passe à usage unique sont un ensemble de caractères ou de chiffres qui authentifient un utilisateur pour une seule connexion. Les codes uniques à six chiffres reçus (par SMS ou par des applications d’authentification dédiées) permettent à un utilisateur de vérifier son identité. Ces formes d’authentification multifacteur sont très populaires parce qu’elles utilisent une technologie facilement disponible.

Cela étant dit, les mots de passe à usage unique ont les mêmes limites que les mots de passe traditionnels : il s’agit toujours d’une forme d’authentification basée sur la connaissance, qui repose sur la saisie par l’utilisateur d’un texte lisible par l’homme qui doit correspondre au "secret" sur un serveur. La principale différence entre ces deux types de mots de passe réside dans leur durée – plus courte pour les mots de passe à usage unique. Ils peuvent être manipulés par des pirates, soit par le biais d’attaques de phishing (où les pirates mettent en place une usurpation d’apparence réaliste d’un site qui transmet le code au vrai site en arrière-plan afin qu’ils puissent prendre le contrôle d’un compte d’utilisateur), soit par des moyens techniques tels que le "SIM Swapping" ou un logiciel de redirection de SIM qu’ils peuvent facilement se procurer sur le dark web pour une poignée de dollars.

L’approche la plus efficace et la plus sûre de l’authentification multifacteur est de loin celle qui est basée sur la possession : les informations d’identification de l’utilisateur sont quelque chose qu’il possède - comme une carte biométrique, une carte à puce ou une clé de sécurité – au lieu de quelque chose qu’il connaît, comme les mots de passe traditionnels et à usage unique reçus par SMS. Par exemple, les cartes à puce stockent les informations d’identification et le code PIN d’un utilisateur, et servent de clé pour authentifier l’utilisateur sur la carte lorsque le PIN est saisi.

Les méthodes d’authentification sans mot de passe, basées sur la possession, sont à l’abri du phishing et d’autres attaques à distance. Elles sont plus sûres que les autres formes d’authentification multifacteur car les informations d’identification de l’utilisateur ne sont pas stockées dans le cloud ou sur le serveur d’une entreprise et ne peuvent donc pas être exposées en cas de violation des données. Elles sont également beaucoup plus faciles à utiliser : au lieu de devoir retenir et gérer différents mots de passe, il suffit souvent d’appuyer sur un bouton pour s’authentifier en toute sécurité.