password

Un groupe de chercheurs Indiens et Américains a mis au point un nouveau système d’authentification basé sur l’activité quotidienne, qui évite aux utilisateurs finaux de créer et surtout de retenir des mots de passe complexes.

Le mécanisme d’authentification est totalement dynamique et se fondent sur l’activité passée. Nommé « ActivPass », ce système consiste à collecter quotidiennement divers journaux et logs en provenance d’un tas de ressources, puis génère un mot de passe qui se traduira comme la réponse à une question de sécurité pour le lendemain.

Le principe d’ActivPass se fonde sur des activités non-fréquentes mais mémorables pour l’utilisateur final. Le mot de passe généré dynamiquement peut s’inspirer d’événements et d’activités sur les réseaux sociaux, les appels téléphoniques reçus, les SMS ou encore la navigation Internet réalisée.

Activity-Based-Passwords

Activity-Based-Passwords

Un exemple simple fourni par l’un des chercheurs est de fournir le nom de la personne qui a transmis le premier SMS de la journée. Cette information est non-récurrente mais mémorable dans le laps de temps nécessaire à l’authentification.

Une expérimentation a été conduite sur la base de 70 individus, et 95% d’entre eux ont pu répondre à la question.

While this level of security is obviously inadequate for serious authentication systems, certain practices such as password sharing can immediately be thwarted from the dynamic nature of passwords. With security improvements in the future, activity-based authentication could fill in for the inadequacies in today’s password-based systems.

[youtube]https://www.youtube.com/watch?v=hssYkAKIZpE[/youtube]

Les données personnelles nécessaires à la génération des questions quotidiennes d’authentification se fondent sur des services tiers, tels les réseaux sociaux. ActivPass extrait ces informations et les organise. A partir de là, plusieurs questions sont générées en arrière-plan. Dès qu’un utilisateur nécessite de s’authentifier, une (ou plusieurs) question lui est posée sur la base de sa récente activité.

Les questions peuvent être textuelle ou une liste de choix multiples. Des indices peuvent également accompagner les questions.

ActivPass est d’ors et déjà disponible à l’essai (application Android, Facebook, Chrome…) à l’adresse suivante. Le paper / article issu du groupe de chercheurs est également disponible ici.

Cette nouvelle méthode d’authentification, innovante, implique toutefois que de nombreuses informations personnelles soient brassées par la solution, et que cette collecte doit être strictement définie et régulée pour le respect des données personnelles des utilisateurs.

Sources & ressources :

Yann

Consultant Sécurité