Vous souhaitez nous joindre ? Appelez Clémentine au 03 20 39 01 32

Jeton individuel d’accès (token access) : le point sur les bonnes pratiques

Posted On 21/09/2022

Jeton individuel d’accès : entre usage et risques

L’authentification par jeton numérique (aussi appelé token access) est notamment utilisée pour :

  • les procédures de confirmation de création de compte, de génération et de renouvellement de mot de passe  ;
  • la connexion automatisée à un serveur pour faciliter l’accès à un service donné (validation d’un formulaire pour le recueil du consentement, page de désinscription à des lettres d’information, etc.) ;
  • la consultation directe de documents et de données en ligne (bons de livraison, documents bureautiques en ligne, résultats d’examen médicaux, etc.).

Dans tous les cas, concrètement, l’utilisateur reçoit un lien à suivre incluant un jeton d’authentification : lorsqu’il clique sur ce lien, le serveur vérifie la validité du jeton, accepte l’authentification et active la fonctionnalité demandée par l’utilisateur.

Si l’utilisation d’un token access présente de multiples avantages, cela n’est pas sans risques : c’est, en effet, un moyen d’accès aux données personnelles de l’utilisateur.

C’est pour cela que l’envoi de jetons frauduleux par mail ou SMS est devenu courant.

Pour réduire les risques liés à l’utilisation d’un token access, la CNIL recommande de respecter les principes suivants :

  • journaliser la création et l’utilisation des jetons ;
  • définir une durée de validité des jetons adaptée à leurs finalités ;
  • générer un lien d’authentification ne contenant aucune donnée personnelle ou avec un contenu haché ;
  • imposer une nouvelle authentification dans le cas où le jeton permet l’accès à des données personnelles ou si le jeton a une durée de vie insuffisamment limitée ;
  • limiter le nombre d’accès, en prévoyant un usage unique ou temporaire en fonction des finalités visées ;
  • restreindre l’utilisation du jeton à certains services ou ressources en évitant sa réutilisation pour tous les parcours utilisateurs ;
  • supprimer automatiquement, de manière temporaire ou définitive, l’accès à la ressource demandée en cas de demandes intensives suspectes ;
  • permettre la révocation d’un jeton depuis un compte utilisateur en cas de comportement suspect automatiquement détecté ;
  • permettre à l’utilisateur de choisir le mode de transmission du jeton (par mail, par SMS, par courrier, etc.).

Enfin, sachez que la CNIL a donné 3 exemples pratiques de jetons individuels de connexion, consultables ici, qui concernent :

  • la confirmation de la création d’un compte utilisateur ;
  • le suivi de livraison ;
  • l’échange de fichiers.

Source : Actualité de la CNIL du 8 septembre 2022 : « Les jetons individuels de connexion ou token access »

Jeton individuel d’accès (token access) : le point sur les bonnes pratiques © Copyright WebLex – 2022

Written by DHONDTWEB

Related Posts

Bricolage et jardinage : la DGCCRF enquête chez les loueurs de matériel

Bricolage et jardinage : la DGCCRF enquête chez les loueurs de matériel

La Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) est amenée à enquêter régulièrement dans plusieurs secteurs d’activités précis, afin de vérifier les pratiques des professionnels. C’est au tour des loueurs de matériel de bricolage et jardinage… Quelles sont ses conclusions ?

Achat-revente de terrains : la TVA sur la marge, ce n’est pas automatique !

Achat-revente de terrains : la TVA sur la marge, ce n’est pas automatique !

Un marchand de biens achète des terrains qu’il revend en tant que « terrains à bâtir » après une division parcellaire et, pour le calcul de la TVA dont il doit s’acquitter, décide de faire application du régime spécifique de TVA sur la marge… Ce que remet en cause l’administration fiscale. Pour quel motif ?

0 commentaires