Dans notre monde actuel, largement dominé par les appareils mobiles, il est assez étrange de voir les utilisateurs en quelque sorte enchaînés à un modèle basé sur les mots de passe, lequel a été inventé pour des ordinateurs équipés de claviers et d’écrans de grande taille.
Sans surprise, la saisie d’un mot de passe sur un appareil mobile est plutôt fastidieuse, sans parler du problème récurrent de la mémorisation des nombreux mots de passe ou codes PIN, sans oublier bien évidemment la création de mots de passe sécurisés !
Le verrouillage par motif est une réponse possible, mais il présente des inconvénients tels que la facilité à espionner ce denier par-dessus l’épaule ou bien à le deviner via une attaque de type smudge (à savoir via la détection des empreintes de gras laissées par les doigts sur un écran).
Selon un nouvel article de chercheurs de l’université de Xi’an Jiaotong-Liverpool en Chine, nous ne devrions pas être surpris lorsque l’étude confirme que près des deux tiers des utilisateurs mobiles sont confrontés à de tels inconvénients lors de la saisie de leurs mots de passe, codes PIN et même de leurs motifs de verrouillage afin de pouvoir accéder à leur équipement, en espérant toutefois que cette technique leur procure une sécurité maximale.
L’alternative de l’équipe, appelée SemanticLock, remplace les mots de passe, les codes PIN et les motifs par une séquence basée sur des icônes graphiques fonctionnant sémantiquement.
Par exemple, la phrase “j’ai pris mon petit-déjeuner en buvant du café” peut être représentée par quatre icônes graphiques représentant chacun un mot ou un concept précis, au sein de cette séquence, et plus facile à saisir sur un petit écran que les caractères alphanumériques équivalents.
Selon les chercheurs, ces icônes graphiques peuvent également être organisés rapidement pour former la séquence correcte, à partir d’une palette de 20 icônes, en deux mouvements de doigts.
Une aide précieuse pour la rapidité et la mémorisation, mais qu’en est-il de la sécurité ?
Au niveau conceptuel, une séquence basée sur des icônes graphiques devrait être autant sécurisée qu’une séquence de nombres, c’est-à-dire que la sécurité est la même tant que la palette d’icônes n’incite pas les gens à utiliser la même série de séquences à mémoriser.
La position des icônes sur l’écran change d’une saisie à l’autre, empêchant ainsi les attaques de type smudge. Lors de tests menés avec 21 utilisateurs, SemanticLock était légèrement plus lent à utiliser que les motifs dans certains cas, mais un peu plus rapide que les codes PIN. En termes de mémorisation, cependant, une séquence choisie n’a été oubliée que dans 10% des cas contre 70% pour les motifs et 50% pour les PIN. Globallement…
[…] en comparant SemanticLock à d’autres systèmes d’authentification, nous avons découvert que SemanticLock surpassait le code PIN et était comparable au verrouillage par motif tant pour la vitesse et la mémorisation, que pour l’acceptation par l’utilisateur et la facilité d’utilisation.
Sur la base de ces résultats, on peut supposer que les fabricants d’appareils mobiles vont s’empresser d’implémenter SemanticLock, ou une technique similaire.
Cette supposition est malheureusement loin de la réalité. Les concepts d’authentification graphiques et basées sur des images de divers types ne sont pas nouveaux et pourtant les mots de passe d’aujourd’hui reposent toujours et encore sur des caractères alphanumériques, des codes PIN et des motifs.
La raison est que malgré leurs inconvénients, ces concepts sont arrivés en premier, une habitude installée qui rend un éventuel remplacement extrêmement difficile.
De plus, il est probable que le noyau dur des utilisateurs qui ne se soucient pas actuellement du mot de passe, du code PIN et des motifs, ignorerait également les icônes graphiques.
Pendant ce temps, les fabricants de smartphones ont investi massivement dans des alternatives telles que le Face ID d’Apple. Ce dernier n’est pas parfait, mais il offre au moins une sécurité équivalente, tout en étant plus rapide et plus simple que n’importe quel système demandant aux utilisateurs de saisir des données ou d’effectuer une action pour accéder à leur appareil. Alors peut-être que les mots de passe ne seront pas remplacés par des icônes mais par des visages !
Billet inspiré de Could semantic icons replace passwords and PINs?, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.