L'identification en ligne se sécurise par la combinaison de lettres, chiffres et couleurs

Par 25 avril 2013
 L'identification en ligne se sécurise par la combinaison de lettres, chiffres e

Afin d’accéder à leurs données personnelles, que ce soit leurs emails ou leurs photos stockées sur le cloud, les internautes doivent passer par une étape d’identification en ligne. Face aux différents logiciels espions, un fort besoin de repenser les mots de passe se fait ressentir.

Et cela débute par le fait de reconsidérer l'interface utilisateur (UI) pour pouvoir entrer en toute sécurité les mots de passe. C’est ce que rapporte une étude menée par Frank Nielsen, du Sony Computer Science Laboratories. En effet, tous les internautes sont concernés par le vol d'identité numérique et de leurs mots de passe, soit par des enregistreurs de frappe ou des regards indiscrets dans les lieux publics. Il semble alors que pour s’authentifier en sécurité, il serait nécessaire de concevoir une interface homme-machine sécurisée (HCI) robuste à ces attaques. Le rapport propose une méthode d’identification sécurisée, basée sur la superposition de deux écrans, mêlant chiffres, lettres ou couleurs. Un système, basé sur une double saisie des mots de passe qui ne laisse transparaître aucune information aux observateurs.

Sécuriser l’identification en ligne grâce à une interface homme-machine

Ayant conscience qu’il est facile d'enregistrer insidieusement les frappes du clavier, le système d'exploitation utilise un clavier graphique, replaçant ainsi le schéma traditionnel de saisie du mot de passe. Sur l'écran graphique est affiché un clavier fixe, qui permet l'interaction avec un deuxième clavier lié à un curseur mobile de dimension identique. En fait, il s’agit d’un affichage à deux couches. Par exemple, le clavier fixe peut être un tableau 3x3 de chiffres marqués de 1 à 9, et l’autre couche peut être un tableau 3x3 de lettres marquées de A à H ou un tableau de différentes couleurs, chaque couleur étant associée de manière aléatoire à un nombre. Ce « cursor board » est contrôlé par une souris ou une interaction tactile avec le doigt. Pour entrer dans son mot de passe secret, l'utilisateur doit donc à la fois aligner le curseur avec la touche numérique correspondante et confirmer son entrée à l'aide d'un double clic de souris ou du doigt.

Au-delà du mot de passe à usage unique

Chaque fois que l'utilisateur entre une donnée, un astérisque s’affiche pour l’informer de la saisie, puis le clavier fixe et le cursor board sont mélangés de manière aléatoire, ne permettant ainsi aucune corrélation pour la prochaine tâche d'alignement chiffres-lettre. Ce système d'interface sécurisée permettant de se connecter en public, devance la solution du « One Time Password » (OTP). Car même si ce dernier est une solution sécurisée puisque l’utilisateur doit entrer un nouveau mot de passe - généré récemment à sa demande- à chaque connexion, son appareil sur lequel ses identifiants sont enregistrés, peut être volé. Pire encore, certains OTP peuvent être générés par un hacker sans voler l'appareil. Récemment, l’Atelier évoquait la biométrie comme solution aux problèmes d’authentification en ligne. Bien que son usage soit accepté par de plus en plus d’internautes, et que cette technologie ne cesse de se développer, la généralisation de son utilisation à des fins d’identification est encore loin.

 

Mentions légales © L’Atelier BNP Paribas