Les facultés humaines sont plus optimisées pour la reconnaissance d’images ou de modèles plutôt qu’un alphabet. C’est une chose avérée. C’est d’ailleurs la raison pour laquelle les enfants commencent leur apprentissage au travers de livres imagés, plutôt qu’un roman.

Ce constat a été fait depuis de nombreuses années, et le cas des mots de passe n’en échappe pas. Les mots de passe : toute la difficulté résulte dans leur robustesse, leur longueur, leur aléa et le fait de les mémoriser. Ce à quoi des chercheurs conseillent et étudient l’approche par mots de passe graphiques.

A l’heure d’aujourd’hui, l’utilisation des terminaux ASCII et des interfaces en ligne de commande est peu à peu remplacée par des interfaces riches, graphiques et mobiles (smartphone notamment). En conséquence, l’ère des mots de passe textuels peut laisser la main à d’autres formes d’authentification plus interactives.

Les mots de passe graphiques consistent à choisir, sélectionner, glisser/déplacer des images ou des points (modèle / pattern) pour former une suite visuelle d’authentification, jugée plus simple et mémorisable, rien de nouveau. Mais la nouveauté avec le projet SemanticLock (paper) est d’accroître une fois de plus l’aspect mémorisable de la séquence, en introduisant une notion d’histoire (sémantique).

SemanticLock est une solution à l’étude de mots de passe graphiques sur la base d’emojis et de petites images à organiser et ordonner pour valider une authentification. Mais cette solution insiste sur l’aspect de « concevoir une histoire ». En guise d’exemple, avec une 20ène d’icône affichés pour s’authentifier sur un service, l’utilisateur va « raconter une histoire » afin de combiner son mot de passe.

Par exemple, « je prend mon petit déjeuner avec un café » se traduirait par la sélection des images suivantes parmi un ensemble d’images :

graphical-password

graphical-password

So when you unlock your phone, or, hopefully, a website, you just choose from a group of graphical icons to tell your story. Today’s larger screens could accomodate 12-20 icons. As icons are used, other icons could take their place, expanding the number of possible combinations.

Le traditionnel « pattern-based authentication » sur les smartphones Android par exemple, est bien plus rapide qu’un simple PIN-code, mais est vulnérable aux « smudge attacks« . Attaques consistant à observer les « traces » laissées par les empreintes des doigts pour déterminer la séquence.

smudge attack

smudge attack

Dans le cas de SemanticLock, les images composants l’authentification sont disposées aléatoirement, empêchant de telles attaques par rejeu ; au détriment de la vitesse d’authentification malheureusement.

Les chercheurs de l’Université de Liverpool ont éprouvé SemanticLock vis-à-vis des authentifications classiques par PIN-code et modèles :

  • Les patterns génèrent les authentifications les plus rapides mais sont vulnérables ;
  • Les PIN-code ont le taux d’erreur le plus faible ;
  • SemanticLock avec ses mots de passe graphiques sont les plus mémorisables.

The researchers tested SemanticLock against PIN and Pattern authentication. They found that while Pattern gave the fastest logins, and PINs the lowest error rate, the memorability of SemanticLock stories was far superior, with only 10 percent of test participants unable to remember their passwords, far lower than other methods.

Les travaux de recherche, d’innovation et l’exploration de nouveaux mécanismes d’authentification s’intensifient depuis plusieurs années. Nombreuses sont les solutions qui naissent, vouées à :

  • Remplacer les mots de passe textuels ;
  • Accroître l’expérience utilisateur et la vitesse de connexion / authentification ;
  • Conserver une sécurité absolue, mémorisable pour l’usager ;

L’authentification forte, multi-facteur (MFA) et les alternatives aux traditionnels couple de login/password est une des activités principales de SYNETIS aussi bien en termes de conseils, d’études, d’expertise et d’implémentation via des solutions du marché. Pour toutes questions, n’hésitez pas à nous contacter.

Sources & ressources :