Vous souhaitez nous joindre ? Appelez Clémentine au 03 20 39 01 32

Jeton individuel d’accès (token access) : le point sur les bonnes pratiques

Posted On 21/09/2022

Jeton individuel d’accès : entre usage et risques

L’authentification par jeton numérique (aussi appelé token access) est notamment utilisée pour :

  • les procédures de confirmation de création de compte, de génération et de renouvellement de mot de passe  ;
  • la connexion automatisée à un serveur pour faciliter l’accès à un service donné (validation d’un formulaire pour le recueil du consentement, page de désinscription à des lettres d’information, etc.) ;
  • la consultation directe de documents et de données en ligne (bons de livraison, documents bureautiques en ligne, résultats d’examen médicaux, etc.).

Dans tous les cas, concrètement, l’utilisateur reçoit un lien à suivre incluant un jeton d’authentification : lorsqu’il clique sur ce lien, le serveur vérifie la validité du jeton, accepte l’authentification et active la fonctionnalité demandée par l’utilisateur.

Si l’utilisation d’un token access présente de multiples avantages, cela n’est pas sans risques : c’est, en effet, un moyen d’accès aux données personnelles de l’utilisateur.

C’est pour cela que l’envoi de jetons frauduleux par mail ou SMS est devenu courant.

Pour réduire les risques liés à l’utilisation d’un token access, la CNIL recommande de respecter les principes suivants :

  • journaliser la création et l’utilisation des jetons ;
  • définir une durée de validité des jetons adaptée à leurs finalités ;
  • générer un lien d’authentification ne contenant aucune donnée personnelle ou avec un contenu haché ;
  • imposer une nouvelle authentification dans le cas où le jeton permet l’accès à des données personnelles ou si le jeton a une durée de vie insuffisamment limitée ;
  • limiter le nombre d’accès, en prévoyant un usage unique ou temporaire en fonction des finalités visées ;
  • restreindre l’utilisation du jeton à certains services ou ressources en évitant sa réutilisation pour tous les parcours utilisateurs ;
  • supprimer automatiquement, de manière temporaire ou définitive, l’accès à la ressource demandée en cas de demandes intensives suspectes ;
  • permettre la révocation d’un jeton depuis un compte utilisateur en cas de comportement suspect automatiquement détecté ;
  • permettre à l’utilisateur de choisir le mode de transmission du jeton (par mail, par SMS, par courrier, etc.).

Enfin, sachez que la CNIL a donné 3 exemples pratiques de jetons individuels de connexion, consultables ici, qui concernent :

  • la confirmation de la création d’un compte utilisateur ;
  • le suivi de livraison ;
  • l’échange de fichiers.

Source : Actualité de la CNIL du 8 septembre 2022 : « Les jetons individuels de connexion ou token access »

Jeton individuel d’accès (token access) : le point sur les bonnes pratiques © Copyright WebLex – 2022

Written by DHONDTWEB

Related Posts

Transporteurs routiers : de nouvelles taxes en 2024 ?

Pour permettre une meilleure prise en compte des coûts liés à l’utilisation des infrastructures routières, le Gouvernement autorise certaines collectivités volontaires à mettre en place une taxe au titre de l’usage, par les véhicules de transport de marchandises, du réseau routier relevant du domaine public national qu’elles gèrent…

Réseaux sociaux : améliorer la protection des jeunes utilisateurs

L’utilisation des réseaux sociaux est, en règle générale, conditionnée à l’atteinte d’un âge minimum par l’utilisateur. Mais ces limitations issues des conditions générales d’utilisation des réseaux sont souvent sans effet, ce qui a pour conséquence de laisser les plus jeunes sans supervision… D’où la nécessité d’adopter un cadre légal !

Influenceurs : vous ne pouvez pas tout faire !

Récemment, le législateur est venu encadrer l’activité des influenceurs. Au titre des nouvelles mesures, certaines concernent le droit du travail. Au programme : la formation professionnelle et le travail des enfants. Explications.

0 commentaires