emojis

 

Une nouvelle alternative aux traditionnels « passwords » fait son apparition, notamment sur smartphone. Une banque anglaise a d’ailleurs adopté ce nouveau mécanisme d’authentification qui, d’après l’éditeur, est plus compliqué à pirater tout en étant plus simple à mémoriser.

Intelligent Environments a publié cette nouvelle fonctionnalité auprès de ses utilisateurs, via laquelle ils peuvent choisir un code « PIN » pour les accès bancaires en-ligne via un menu de 44 emojis.

Dans un article de presse, l’entreprise assure que les « emojis passwords » sont plus sécurisés que les PIN-code classiques, notamment car il y a un plus grand nombre de permutations possibles (480 fois plus de permutations), et plus simple « visuellement » à se souvenir.

En effet, un PIN traditionnel numérique de 4 chiffres non-répétés équivaut à 7 290 permutations contre 3 498 308 avec les emojis.

emojis-screen

Les jeunes utilisateurs de ces services bancaires sont la principale cible de ce nouveau mécanisme d’authentification. Suite à une étude, il s’avère que 64% de cette population communique via des emojis et sont donc particulièrement concernés et familiarisés par ces « icônes ».

“We’ve had input from lots of millennials when we developed the technology. What’s clear is that the younger generation is communicating in new ways,” said David Webber, Manager Director at Intelligent Environments. “Our research shows 64% of millennials regularly communicate only using emojis. So we decided to reinvent the passcode for a new generation by developing the world’s first emoji security technology.”

[vimeo]https://vimeo.com/130728753[/vimeo]

Ce n’est pas la première fois que des images servent d’authentification. Windows 8 à d’ailleurs intégré ce mécanisme pour sa mire d’authentification via des images.

L’avis de SYNETIS :

  • Mathématiquement parlant, il est clair que l’utilisation des emojis (charset en base 44) plutôt que les chiffres (base 10) engendre plus de calculs pour cracker le code. Toutefois, avec une séquence de 4 caractères (emojis), cela reste moindre au regard des puissances de calculs actuels. Un mot de passe de 8 caractères uniquement composé de lettre en minuscule offre 208 milliards de combinaisons, soit 55 000 fois plus que le mécanisme via emojis.
  • Moins de fuite verbalement ou au travers d’un post-it : une séquence d’emojis est difficilement transmissible à l’orale ou encore sur le fléau du « post-it ».
  • Un avantage est que les emojis reflètent moins des caractéristiques propre à l’identité contrairement à un PIN-code numérique très souvent représentatif de la date de naissance de la personne.
  • Plus grande facilité de mémorisation (voir le « Picture superiority effect« ).
  • Le pannel des emojis utilisables en guise d’authentification peut être chargé aléatoirement, ainsi les emojis d’authentification seraient placés différemment entre chaque authentification. Ce qui évite les séries d’emojis tels les password « 123456 » ou encore « azerty » ou « qwerty ».
  • Ce mécanisme d’authentification a trouvé sa population d’usager, toutefois il serait compliqué de le faire accepter dans un environnement professionnels. Difficile d’imaginer un major de l’armée entrant ses « emojis » pour accéder à une zone sécurisée…

Très intéressante alternative au mot de passe et/ou PIN-code, ciblant une population précise et difficilement extensible au monde de l’entreprise. Toutefois, garder en tête que plus le « charset » composant un mot de passe est fournis, et plus la longueur du mot de passe est grande, bien meilleure est la sécurité, quelque soit les symboles composants le « secret ».

Sources & ressources :

Yann

Consultant sécurité