211service.com
Un mot de passe si secret que vous ne le connaissez pas consciemment
Certains efforts pour remplacer les mots de passe traditionnels à lettres et chiffres reposent sur des gestes, des appareils portables ou la biométrie. Une approche dans les travaux de la société de recherche et développement SRI International et Stanford and Northwestern adopte une approche différente : des mots de passe que vous connaissez mais ne savez pas que vous connaissez.
Patrick Lincoln, directeur du laboratoire d'informatique du SRI et chercheur sur le projet, appelle cette authentification résistante aux tuyaux en caoutchouc en référence à cryptanalyse au tuyau en caoutchouc , dans lequel un utilisateur est contraint ou physiquement forcé de donner, par exemple, le code d'accès à un bâtiment sécurisé. Lincoln dit que l'approche repose sur l'apprentissage implicite - le genre d'apprentissage qui se produit par pure répétition, comme apprendre à faire du vélo, que l'apprenant ne peut pas expliquer verbalement - pour éviter que les mots de passe ne soient compromis.
Jusqu'à présent, le projet a utilisé une interface de jeu, ressemblant à une version rudimentaire de Guitar Hero, qui entraîne l'utilisateur à saisir un motif unique. Les utilisateurs appuient sur une touche, correspondant à une colonne, chaque fois qu'une balle qui tombe touche le bas de l'une des colonnes, mais parce que la séquence des balles qui tombent change à chaque fois, les utilisateurs ne peuvent pas déterminer consciemment quelle est leur séquence unique, et quelle est simplement ajouté du bruit. Plus tard, l'utilisateur est authentifié en jouant au jeu, qui contient des parties du modèle appris, et la compétence supérieure de l'utilisateur à cette tâche prouve son identité.
C'est l'une des nombreuses tentatives pour s'éloigner des mots de passe standard, qui peuvent être difficiles à mémoriser et peu sûrs. Et si les chercheurs à l'origine du projet parviennent à le faire fonctionner suffisamment bien, cela pourrait éventuellement aider les travailleurs à pénétrer dans des zones de haute sécurité comme les cockpits d'avions, ainsi que dans des domaines plus banals tels que votre domicile ou votre compte bancaire.
Les utilisateurs pourraient également être en mesure d'apprendre plus d'un mot de passe inconscient sans interférence, dit Lincoln, de sorte que vous pourriez avoir un mot de passe inconscient pour votre bureau et un autre pour votre compte bancaire. Et si l'un des mots de passe était compromis d'une manière ou d'une autre, vous pourriez être recyclé sur celui-ci sans effacer l'autre.
Les premiers résultats des chercheurs ont été publiés dans un papier l'année dernière, y compris une étude indiquant que les utilisateurs formés pouvaient saisir correctement leurs modèles au fil du temps, mais ne pouvaient pas s'en souvenir consciemment. Le projet a reçu un prix de la National Science Foundation qui, selon Lincoln, permet à la recherche d'aller de l'avant. Jusqu'à présent, selon Lincoln, la formation prend du temps (elle prend environ 40 minutes par mot de passe) et la précision du système doit être améliorée, car ce système de mot de passe n'est pas encore aussi sécurisé que les mots de passe traditionnels. Le groupe de Lincoln lance de nouvelles expériences qui, espère-t-il, conduiront à des mots de passe inconscients plus efficaces et plus faciles à apprendre.
Malgré les défis et l'impraticabilité actuelle d'un tel système, David Wagner , professeur d'informatique à l'UC Berkeley qui étudie la sécurité informatique, note qu'il existe des exemples de technologies de sécurité de plus en plus utilisées bien qu'elles semblaient initialement peu pratiques, comme la cryptographie à clé publique, qui a fait ses débuts dans les années 1970 avec l'invention de l'algorithme de cryptage RSA . Tout le monde peut deviner si cela verra le jour un jour, dit-il, mais c'est assez inspirant de voir, du moins en théorie, qu'il serait possible d'avoir un mot de passe que vous ne connaissez pas mais que vous pouvez utiliser.