Authentification en deux étapes avec TOTP C'est devenu le bouclier indispensable pour protéger vos comptes : un deuxième code qui change régulièrement et que vous devez saisir en plus de votre mot de passe. Dans cet article, je vous propose un guide complet avec des comparaisons d'applications, des conseils de configuration et des cas d'utilisation concrets, le tout expliqué en détail et de manière intuitive pour que vous ne vous perdiez pas en chemin.
Au-delà d'une simple liste, vous trouverez ici informations pratiques Pour choisir la meilleure application TOTP, apprenez à la configurer sur des services populaires (GitHub, Bitwarden, Nextcloud, etc.), à l'implémenter dans votre backend avec Node.js et à éviter les erreurs courantes qui peuvent vous priver d'accès à vos comptes. C'est parti !
Qu'est-ce que TOTP et pourquoi devriez-vous l'activer aujourd'hui ?
TOTP (mot de passe à usage unique basé sur le temps) Il s'agit d'un algorithme qui génère des mots de passe à usage unique et temporels. Votre application et le serveur partagent un secret ; grâce à l'horloge système, ils calculent le même code, généralement renouvelé toutes les 30 secondes. Comme il fonctionne hors ligne, C'est rapide, fiable et très confortable, et ajoute une deuxième couche qui arrête les attaques même si votre mot de passe est divulgué.
Au sein de la 2FA, il existe plusieurs méthodes (SMS, email, biométrie, clés physiques, notifications push...), mais Les applications TOTP sont généralement l'option la plus équilibrée Pour la confidentialité, la disponibilité et le contrôle. Remarque : les SMS sont utiles en cas de panne, mais ils ne sont pas aussi fiables, surtout hors des États-Unis.
Conseils clés avant de commencer
La première, Ne supprimez pas un compte 2FA de votre application. sans le désactiver au préalable depuis le site web du service. Il est facile d'être bloqué à vie. Ensuite, générez et enregistrez le codes de récupération Dès qu'elles sont disponibles. Troisièmement, planifiez vos sauvegardes : choisissez des applications avec sauvegarde cloud chiffrée, exportez vers un fichier chiffré ou utilisez la synchronisation de compte pour éviter de perdre des jetons lors d'un changement de téléphone.
Une note de réalité : Toutes les 39 secondes, une cyberattaque se produit Partout dans le monde. L'activation de l'authentification à deux facteurs avec TOTP prend moins de deux minutes et renforce votre sécurité. Si vous ajoutez également une clé de sécurité physique comme méthode alternative, vous aurez largement dépassé le délai.
Comment choisir votre application TOTP : ce qu'il faut rechercher et ce qu'il faut éviter
Les meilleures applications combinent sécurité, facilité, exportation/sauvegarde et compatibilité multiplateforme. Il est essentiel qu'ils puissent être protégés par biométrie ou code PIN, masquer les codes à l'écran et proposer des sauvegardes chiffrées ou une exportation sécurisée. Si vous utilisez plusieurs systèmes d'exploitation, recherchez synchronisation entre Android, iOS et ordinateur de bureau.
Que fuir ? Les applications sans sauvegarde ni exportation, copies incompatibles entre les plateformes (si vous alternez entre iOS et Android), ou qui nécessitent un numéro de téléphone si vous n'en avez pas besoin. Les petits détails font toute la différence en temps de crise.
Comparaison complète des applications d'authentification TOTP
Vous trouverez ci-dessous un aperçu avec les fonctionnalités et les nuances les plus pertinentes des outils qui apparaissent le plus fréquemment dans les meilleurs guides, documentations et analyses spécialisées.
Google Authenticator (Android, iOS)
C'est la référence classique : gratuit, simple et sans compte requisExportez tous les jetons simultanément à l'aide d'un seul code QR pour migrer vers un autre téléphone. Sur iOS, vous pouvez sécuriser l'accès avec Face ID/Touch ID et rechercher des jetons. L'application ne propose pas de sauvegardes cloud natives et ne masque pas toujours les codes, ce qui peut être gênant en public. Idéal si vous ne voulez pas de cloud et vous privilégiez la simplicité.
Authentificateur Microsoft (Android, iOS)
Combine le gestionnaire de mots de passe et TOTP avec Protection biométrique/PIN, masquage du code et les sauvegardes dans le cloud. Point faible : les sauvegardes iOS et Android sont incompatibles entre eux, n'exporte pas les jetons et occupe beaucoup d'espace (150 à 200 Mo). Si vous utilisez l'écosystème Microsoft, cela simplifie grandement les connexions.
Twilio Authy (Android, iOS, Windows, macOS, Linux)
La star multiplateforme : se synchronise impeccablement Entre mobile et ordinateur, avec sauvegarde dans le cloud et protection par code PIN/biométrique. La création d'un compte avec un numéro de téléphone est requise, et l'interface mobile affiche un jeton à la fois, qui est moins agile avec de nombreux comptes. Il n'exporte ni n'importe de jetons, mais constitue une alternative intéressante à Google/Microsoft.
Duo Mobile (Android, iOS)
Très populaire dans les entreprises, interface propre et simple, masque les codes et permet la sauvegarde sur Google Cloud (Android) ou iCloud (iOS) sans créer de compte. L'application ne dispose d'aucune protection d'accès. Les copies iOS/Android ne sont pas prises en charge Si vous ne changez pas de plateforme, cela peut vous être très utile.
OTP gratuit (Android, iOS)
Projet open source, minimaliste et très léger (2-3 Mo). Pas de stockage cloud ni d'exportation de jetons ; sur iOS, la création de jetons avec une clé manuelle n'est pas possible (uniquement avec des codes QR). Sur iOS, vous pouvez protéger vos jetons avec Face ID/Touch ID, et les codes sont masqués par défaut après 30 secondes d'inactivité. Pour ceux qui privilégient le minimalisme et l'intimité.
etOTP (Android)
Très complet et open source : Verrouillage par code PIN/mot de passe/empreinte digitale, étiquettes, recherche, masquage et verrouillage automatiques en cas d'inactivité, bouton panique pour tout supprimer et exportation vers un fichier chiffré (par exemple, Google Drive). Ce service est abandonné, mais il reste très performant. Riesgo: : la facilité de récupération des clés nécessite une très bonne protection des accès.
Authentificateur Aegis (Android)
Alternative open source moderne, gratuit, avec cryptage, biométrie et de bonnes options de sauvegarde. Il prend en charge l'importation depuis Authy/andOTP et presque tous les formats 2FA. Certaines fonctionnalités puissantes nécessitent un root, ce qui n'est pas pour tout le monde. Bon équilibre entre sécurité et convivialité.
Authentification OTP (iOS, macOS)
Puissant pour Apple : dossiers à organiser, exportation vers un fichier, lecture de clés/jetons QR, synchronisation iCloud et protection par Face ID/Touch ID ou par mot de passe. L'application ne masque pas les codes et certaines fonctionnalités sont payantes sur macOS. Pour iPhone/Mac, C'est le plus complet.
Deuxième étape (iOS, macOS)
Minimaliste, avec Synchronisation iCloud Prise en charge de l'Apple Watch. Aucune protection d'accès, aucun masquage de code, aucune exportation/importation de jetons, et la version gratuite est limitée à dix jetons. Sous macOS, la lecture des codes QR nécessite une autorisation de capture d'écran. Parfait si vous voulez quelque chose de très simple dans l'écosystème Apple.
WinAuth (Windows)
Orienté joueur : prend en charge les jetons non standard Steam, Battle.net ou Trion/Gamigo, en plus du TOTP standard. Il permet de chiffrer les données, de les exporter en texte brut ou en fichier chiffré. protéger avec un mot de passe ou une YubiKey et masquer les codes automatiquement. Cela n'existe que pour Windows et, en règle générale, 2FA n'est pas recommandé sur PC, mais pour les jeux c'est un bijou.
Application Authenticator (écosystème Apple)
Vérificateur avec applications pour iPhone, iPad, Mac et Apple Watch, et extensions pour presque tous les navigateurs (Safari, Chrome, Brave, Tor, Vivaldi…). Sa version gratuite est très limitée ; la version payante inclut la sauvegarde et la synchronisation. Elle inclut le chiffrement. partager en famille et verrouillez avec Face ID. Si vous vivez chez Apple, c'est une option à considérer.
2FAS (authentificateur 2FA)
Simple, gratuit et avec cryptage E2EFonctionne hors ligne et permet de lier des jetons par clé ou code QR et de les synchroniser avec Google Drive. Sauvegardes pour éviter la perte de jetons, extension de navigateur, code PIN/biométrie et absence de publicité. Peu d'options avancées. mais très fiable Pour le quotidien.
1Password (avec TOTP intégré)
Gestionnaire de mots de passe payant qui inclut 2FA TOTP Intégré. Son principal atout est le remplissage automatique du code sur les sites compatibles et la gestion unifiée des identifiants. Ce n'est pas une application 2FA pure, mais si vous utilisez déjà 1Password, ça simplifie votre vie sur mobile, ordinateur et navigateur.
Bitwarden (avec TOTP intégré)
Open source et gratuit pour un seul utilisateur ; la version payante ajoute TOTP qui est saisie semi-automatique sur les sites Web et les applicationsIl génère des codes à six chiffres (SHA-1, 30s) par défaut et permet de personnaliser les paramètres en modifiant l'URI du TOTP. Les extensions de navigateur copient le TOTP dans le presse-papiers après la saisie semi-automatique si vous activez cette option. Très rond pour centraliser les mots de passe et le 2FA.
Authentificateur TOTP (BinaryBoot)
Interface claire et prise en charge étendue des services 2FA. Il offre Cloud Sync Premium avec Google Drive (vous contrôlez les données), extension de navigateur (premium), thème sombre, balises et recherche, prise en charge multiplateforme (Android/iOS), utilisation multi-appareils (sauvegardes cryptées), widgets multiples, personnalisation des icônes et sécurité biométrique avec la possibilité de bloquer les captures d'écran. La version gratuite est quelque peu limitée.
Protectimus Smart OTP
Disponible sur Android et iOS, compatible avec les montres Android, prend en charge plusieurs protocoles et permet de protéger l'application avec un code PIN. Moins connu, il est néanmoins très complet si vous recherchez une variété de normes et utilisation dans les objets connectés.
Guides pratiques : Comment activer le TOTP sur les services populaires
Allons-y avec des instructions spécifiques, extrait de la documentation officielle afin que vous puissiez configurer TOTP sans vous perdre.
Configurer TOTP sur GitHub (application TOTP ou SMS, avec méthodes supplémentaires)
GitHub recommande d'utiliser Applications TOTP et clés de sécurité basées sur le cloud En guise de solution de secours, au lieu des SMS. Après l'activation de l'authentification à deux facteurs, votre compte entre dans une période de vérification de 28 jours : si vous échouez à l'authentification, vous serez invité à activer l'authentification à deux facteurs le 28e jour et pourrez la reconfigurer en cas de problème.
- TOTP étape par étape: Paramètres utilisateur → Mot de passe et authentification → Activer 2FA → Scannez le code QR avec votre application TOTP ou utilisez la clé de configuration manuelle (tapez TOTP, GitHub Label : , Émetteur GitHub, SHA1, 6 chiffres, 30 secondes). Vérifiez avec un code actuel et téléchargez le codes de récupération.
- Les SMS comme alternativeAjoutez votre numéro après avoir passé un CAPTCHA, saisissez le code reçu par SMS et enregistrez les codes de récupération. N'utilisez cette option que si vous ne pouvez pas utiliser le TOTP.
- Clés d'accèsSi vous disposez déjà de la 2FA via l'application TOTP ou SMS, ajoutez une clé d'accès pour vous connecter sans mot de passe tout en respectant les exigences de la 2FA.
- Clés de sécurité (WebAuthn)Après avoir activé la 2FA, enregistrez une clé compatible. Elle fait office de deuxième facteur et nécessite votre mot de passe ; en cas de perte, vous pouvez utiliser un SMS ou votre application TOTP.
- GitHub Mobile:Après avoir reçu le TOTP ou le SMS, vous pouvez utiliser l'application mobile avec notifications push; ne s'appuie pas sur TOTP et utilise le cryptage à clé publique.
Si une application TOTP ne vous convient pas, enregistrer les SMS comme plan B et ajoutez ensuite une clé de sécurité pour augmenter la barre de sécurité sans compliquer les choses.
Bitwarden Authenticator : génération, remplissage automatique et astuces
Bitwarden génère des TOTP à 6 chiffres avec SHA-1 et rotation de 30 sVous pouvez scanner le code QR depuis l'extension de navigateur (icône appareil photo) ou le saisir manuellement sur iOS/Android. Une fois configuré, l'icône TOTP rotative s'affichera à l'intérieur de l'élément et vous pourrez le copier comme un mot de passe.
Saisie automatiqueLes extensions de navigateur renseignent automatiquement le TOTP ou le copient dans le presse-papiers après la saisie automatique si vous activez la saisie automatique au chargement de la page. Sur mobile, le code est copié dans le presse-papiers après la saisie automatique de la connexion.
Si vos codes ne fonctionnent pas, synchronise l'horloge de l'appareil (Activez/désactivez l'heure automatique sur Android/iOS ; sur macOS, idem pour la date/l'heure et le fuseau horaire.) Si un service nécessite des paramètres différents, modifiez le URI otpauth manuellement dans l'élément pour ajuster les chiffres, la période ou l'algorithme.
Sur iOS 16+, vous pouvez définir Bitwarden comme vérification de l'application par défaut Lors de la numérisation de codes depuis l'appareil photo : Paramètres → Mots de passe → Options de mot de passe → Configurer les codes de vérification avec → Bitwarden. Lors de la numérisation, appuyez sur « Ouvrir dans Bitwarden » pour enregistrer.
Pour les comptes Microsoft Azure/Office 365 : lors de la configuration de la 2FA, choisissez « une autre application d'authentificationAu lieu de Microsoft Authenticator, scannez le code QR avec Bitwarden. Pour Steam, utilisez un URI préfixé. steam:// suivi de votre clé secrète ; les codes seront 5 caractères alphanumériques.
Nextcloud : codes TOTP et de sauvegarde
Si votre instance active la 2FA, dans vos préférences personnelles, vous verrez le code secret et un QR à scanner avec votre application TOTP. Générez et enregistrez le codes de sauvegarde dans un endroit sûr (pas sur le téléphone lui-même), car ils vous sortiront du pétrin si vous perdez le deuxième facteur.
Lors de votre connexion, saisissez le mot de passe TOTP dans votre navigateur ou sélectionnez une seconde étape si vous en avez configuré une. Si vous utilisez WebAuthn, ne réutilisez pas le même jeton pour la 2FA et pour la connexion sans mot de passe, car il ne s'agirait plus d'un facteur « double ».
Étude de cas d'entreprise : Portail des médicaments spécialisés (AEMPS)
Exemple de flux typique : installer une application TOTP (Microsoft/Google Authenticator, FreeOTP, Authy…) et depuis le navigateur demande « Réinitialiser le code de vérification » Sur la page d'identification, vous recevrez un e-mail contenant un lien affichant un code QR.
Scannez le QR avec votre application, vous verrez votre premier code et retournez dans votre navigateur pour le saisir sur la page de réinitialisation. Ensuite, connectez-vous en choisissant la méthode « Code de vérification » : nom d'utilisateur, mot de passe et le code TOTP actuel affiché sur votre téléphone.
Clés matérielles : YubiKey comme accessoire de luxe
Pour une sécurité maximale, YubiKey par Yubico C'est la référence absolue : clés physiques IP68, sans pile, robustes et compatibles FIDO2, U2F, OTP, Smart Card, etc. Elles fonctionnent parfaitement avec Google, Facebook et bien d'autres services. Si un service ne prend pas en charge le matériel, vous pouvez utiliser leur application d'authentification sauvegarde. Il existe même des modèles certifiés FIPS pour les environnements qui l'exigent.
L'idéal: Application TOTP + YubiKeyVous disposerez toujours d'un deuxième facteur disponible, et d'un autre hautement sécurisé pour les moments où vous souhaitez maximiser votre protection.
Implémentez TOTP dans votre backend (Node.js avec otplib)
Si vous développez votre propre application, TOTP est facile à intégrer avec otplib et une touche d'Express.js. Le workflow se déroule en deux phases : l'association d'un secret TOTP à l'utilisateur et la validation des codes lors de la connexion.
- AssociationGénérez un secret sur le serveur, créez l'URI OTPauth et affichez-le sous forme de code QR (à l'aide de bibliothèques comme QRcode). L'utilisateur le scanne avec son application et vous envoie un TOTP. valider et sauvegarder l'association.
- vérification:à chaque connexion après mot de passe correct, demander le TOTP et vérifiez sa validité par rapport au secret enregistré. Si elle est valide, vous finalisez la connexion.
Comme vous pouvez le voir, c’est un modèle très clair : vous synchronisez un secretVous validez le premier code, puis comparez le code TOTP tournant à chaque connexion. Simple, robuste et compatible avec la plupart des applications d'authentification.
Astuces et bonnes pratiques qui vous éviteront des ennuis
Pensez à votre « plan B » : codes de récupération et méthodes alternatives (clé de sécurité, SMS, application mobile push) et si vous comptez sur la synchronisation cloud, vérifiez s'il y en a incompatibilités entre iOS et Android (Coque Microsoft et Duo) pour ne pas avoir de surprises lors du changement de téléphone.
Quand utiliser un gestionnaire de mots de passe avec TOTP intégré
Si vous utilisez déjà Bitwarden ou 1Password, activer le module TOTP Unifie les mots de passe et l'authentification à deux facteurs, avec saisie automatique dans un seul et même outil. Avantages : rapidité et fluidité. Inconvénient : concentration d'éléments plus sensibles au même endroit. protégez-le avec une 2FA puissante et vérifiez les options d'exportation/sauvegarde sécurisées.
Résumé des applications en vedette et des compatibilités
Android: Google Authenticator, Microsoft Authenticator, Authy, Duo, FreeOTP, Aegis, andOTP, 2FAS, Protectimus, TOTP Authenticator, WinAuth (non mobile). Dans iOS: Google Authenticator, Microsoft Authenticator, Authy, Duo, FreeOTP, Authentification OTP, Deuxième étape, Application Authenticator, Authentificateur TOTP. Bureau : Authy (Win/macOS/Linux)Authentification OTP (macOS), Deuxième étape (macOS), WinAuth (Windows).
Pour jetons de jeux vidéo spéciaux, WinAuth brille avec Steam et Battle.net ; Bitwarden peut gérer Steam avec steam://Chez Apple, le authentificateur intégré sur iOS 15+ et Safari 15+, c'est utile, mais sa saisie semi-automatique n'atteint pas toujours son objectif et n'est pas aussi rapide qu'une application dédiée.
Liste de contrôle rapide pour choisir votre application TOTP
- Besoin véritable multiplateforme (mobile + ordinateur) ? Authy est une valeur sûre.
- Minimalisme et pas de nuage ? Authentificateur Google ou FreeOTP sont une bonne base.
- Open source avec un contrôle précis ? Égide (Android) ou OTP Auth (iOS) se démarquent.
- Gestionnaire tout-en-un + TOTP ? Bitwarden ou 1Password le rend beaucoup plus simple.
- Le monde du jeu ? WinAuth prend en charge les jetons non standard.
Quel que soit votre choix, génère des copies de sauvegarde et enregistre les codes de récupération. C'est une véritable bouée de sauvetage en cas de coup dur.
L'activation de TOTP vous offre un énorme bond en avant en matière de sécurité avec des coûts de temps minimes, et avec les applications que vous avez vues, vous pouvez choisir ce qui vous convient le mieux : des solutions simples et sans cloud aux écosystèmes synchronisés sur tous vos appareils, y compris des gestionnaires qui complètent automatiquement le code pour vous ou des clés physiques pour fermer la boucle. scénarios de haute sécuritéAvec quelques bonnes décisions et un plan de secours, Votre compte passe d'un statut « à la merci » à un statut « à l'abri des frayeurs ».
