EP2692122A1 - Strong authentication by presentation of the number - Google Patents

Strong authentication by presentation of the number

Info

Publication number
EP2692122A1
EP2692122A1 EP12717417.5A EP12717417A EP2692122A1 EP 2692122 A1 EP2692122 A1 EP 2692122A1 EP 12717417 A EP12717417 A EP 12717417A EP 2692122 A1 EP2692122 A1 EP 2692122A1
Authority
EP
European Patent Office
Prior art keywords
user
information system
terminal
time password
telephone terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP12717417.5A
Other languages
German (de)
French (fr)
Inventor
Benoit Ferlin
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oney Bank
Original Assignee
BANQUE ACCORD
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BANQUE ACCORD filed Critical BANQUE ACCORD
Publication of EP2692122A1 publication Critical patent/EP2692122A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/325Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices using wireless networks
    • G06Q20/3255Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices using wireless networks using mobile network messaging services for payment, e.g. SMS
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/385Payment protocols; Details thereof using an alias or single-use codes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4012Verifying personal identification numbers [PIN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M1/00Substation equipment, e.g. for use by subscribers
    • H04M1/57Arrangements for indicating or recording the number of the calling subscriber at the called subscriber's set
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M1/00Substation equipment, e.g. for use by subscribers
    • H04M1/66Substation equipment, e.g. for use by subscribers with means for preventing unauthorised or fraudulent calling
    • H04M1/663Preventing unauthorised calls to a telephone set
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • H04M3/42Systems providing special services or facilities to subscribers
    • H04M3/42025Calling or Called party identification service
    • H04M3/42034Calling party identification service
    • H04M3/42059Making use of the calling party identifier

Definitions

  • the present invention relates to the technical field of securing access to online resources, and more particularly to the authentication of a user wishing to access an online service from a public computer network such as the Internet.
  • authentication in computer systems is meant, here, the verification of the identity of an entity (a person, a computer, a computer process for example) to allow access of this entity to resources (services, networks, systems, applications for example). These entities are referred to below as the "user”.
  • a data item known to the user such as a password
  • an object possessed by the user for example a magnetic card or a smart card;
  • Authentication techniques based on means provided to users such as an authentication token, a smart card, a smart card, or a USB key have the disadvantage of requiring an additional hardware cost.
  • biometric authentication methods are generally complex and require a fastidious preliminary characterization step.
  • authentication solutions have emerged that combine two factors: known data by the user (for example a password) and an item that the user owns (such as a phone number or an email address). In this case we speak of strong authentication.
  • known data by the user for example a password
  • an item that the user owns such as a phone number or an email address.
  • we speak of strong authentication we speak of strong authentication.
  • OTP One-Time Password
  • the one-time password can only be used as a means of authentication for a single session.
  • OTP one-time password
  • a new OTP is generated, generally in a random or pseudo-random manner, and then communicated to the user with each new access request issued by the user to the remote server.
  • the user submits this OTP to the remote server as a proof of the authenticity of his identity, which he has declared using his login / password for example. Consequently, the usurpation of the static logins / passwords, whether from the user terminal or from the network link connecting the user terminal to the server, becomes superfluous since an OTP becomes obsolete once it has been used. .
  • an OTP is generally communicated to the user via a channel other than that established between the user terminal and the server.
  • an OTP is generally sent to the user by SMS (Short Service Message), by MMS (Multimedia Messaging Service) or by voice message using the second authentication factor, namely the telephone number that the user owns and has previously provided to the remote server.
  • An object of the present invention is to overcome the aforementioned drawbacks.
  • Another object of the present invention is to deploy a strong authentication solution at lower cost.
  • Another object of the present invention is to reduce the financial cost necessary to guarantee the security of the merchant sites.
  • Another object of the invention is to allow a user, typically a user, to access online services in a simple and secure manner.
  • Another object of the present invention is to provide a strong authentication method for securing access to online resources from an insecure network.
  • the invention relates, according to a first aspect, to a single-use password authentication method of a user provided with a computer terminal and a telephone terminal and wishing to access a resource. online to an information system, the method including a step of initiating a call to said telephone terminal with a caller ID including the one-time password.
  • the invention relates to a one-time password authentication system of a user provided with a computer terminal and a telephone terminal and wishing to access an online resource from a user.
  • an information system this system including a private branch exchange arranged to trigger a call to said telephone terminal with a caller ID including the one-time password.
  • the invention relates to a computer program product implemented on a memory medium that can be implemented within a computer processing unit and includes instructions for implementing the process summarized above.
  • FIG. attached schematically illustrates a functional representation of an embodiment.
  • FIG. 1 shows a user 10 wishing to remotely access, via a computer terminal 11, to an online resource made available by an information system 20.
  • the computer terminal 11 may be any user equipment allowing a user 10 to connect to a computer network, including the Internet, from which the online resource proposed by the information system 20 is accessible.
  • a personal computer / portable / public computer, a PDA (Personal Digital Assistant), or a smartphone (a smart phone) are examples of computer terminals 10.
  • the information system 20 may be any hardware and / or software computer means making available to the user 10 an on-line resource, in particular an online service, accessible from a computer terminal 11.
  • An application server, a Web server hosting an e-commerce website, or a plurality of cooperative servers are examples of information system 20.
  • the user 10 also has a telephone terminal 12 associated with at least one telephone number (telephone number).
  • This telephone terminal 12 is, for example, a mobile phone, a smartphone or a PDA comprising a SIM (Subscriber Identity Module) or USIM (Universal Subscriber Identity Module);
  • the telephone terminal 12 is a mobile phone or a smartphone. This case is of course not limiting.
  • the telephone terminal 12 allows the presentation to the called party of the caller's number (in English, Calle D for Caller Identification or CLIP for Calling Line Identification Presentation).
  • the telephone terminal 12 provides the call number, or more generally the identifier of the caller.
  • the identifier of the caller may be displayed on the screen of the telephone terminal 12, if it has one, or on a separate device. Alternatively or in combination, the identifier of an incoming call to the telephone terminal 12 may be
  • the computer terminal 11 and the telephone terminal 12 may be included in a single user equipment such as: a fixed / mobile computer comprising a softphone; or
  • DATA data service
  • the user 10 wishes to access a resource put online by the information system 20 and requiring strong authentication (step 1 in FIG. 1).
  • the user 10 wishes to perform a transaction (transfer, purchase, sale for example) online on a website (bank, or e-commerce for example) hosted by the information system 20.
  • a transaction transfer, purchase, sale for example
  • a website bank, or e-commerce for example
  • the user 10 uses the computer terminal 11 in a conventional manner by entering the web address of the site.
  • the information system 20 is arranged to verify the authenticity of the identity of the user 10 that the latter said, for example, with the help of 'a login / password.
  • the information system 20 (step 2 in Figure 1) stores the request of the user 10; searches for the telephone number (ie the second authentication factor) that the user 10 previously provided during a previous session.
  • the telephone number ie the second authentication factor
  • the user 10 has previously entered his profile (at least a login, a password and a telephone number) with the information system 20 by indicating the telephone number of his telephone terminal. 12;
  • This OTP is usually generated in a random or pseudo-random manner.
  • step 31 in Figure 1 communicates (step 31 in Figure 1) ⁇ generated and the telephone number of the user 10 to the private branch exchange 30, also called PBX or PABX for Private Automatic Branch eXchange, and
  • the PABX 30 can also be an IP PBX, which is an evolution towards ⁇ (Internet Protocol) of the traditional BAPX.
  • one of the native features of PABX 30 is to be able to change the number of the caller (Calle®) on demand.
  • the PABX 30 is arranged for (step 4 in FIG. 1) to trigger a call on the telephone terminal 12 of the 10 while presenting the OTP in the caller ID (i.e., in CalleMD).
  • the OTP is transported directly on the display of the telephone terminal 12, in place of the presentation of the caller's number.
  • the call triggered by PABX 30 to the telephone terminal 12 aims to provide ⁇ and not to establish a conversation. This call therefore takes only the necessary and sufficient time to provide ⁇ to the telephone terminal 12, in other words, before the user 10 picks up. Therefore, the PABX 30 is programmed to interrupt the call made at the first or second ring for example.
  • the user 10 enters (step 5 in FIG. 1) the identifier of the caller (Caller_ID) which is displayed on his telephone terminal 12 in accordance with what has been requested by the information system 20.
  • the user 10 enters the identifier of the caller in a dedicated zone (a certain field in an electronic form for example), and submits it to the information system 20.
  • the information system 20 requests the user 10 to return only a specific portion of the caller ID of an incoming call that he will instantly receive on his telephone terminal 12.
  • the information system 20 checks (step 6 in FIG. 1) the validity of the message that is submitted to it by the user 10 and, consequently, authorizes or refuses the access requested by the user 10.
  • the information system 20 includes means for checking the correspondence between the message submitted by the user 10 and the OTP that has been generated and communicated to the PABX 30.
  • the user 10 is certainly authenticated by the information system 20.
  • the information system 20 directs, in this case, the user 10 to the requested resource.
  • the user 10 is informed of the result of his authentication (step 7 in FIG. 1).
  • the user 10 transmits an access request message from his computer 11, to an application server 20 hosting a banking site in order to perform a certain transaction (step 1 in Figure 1); the application server 20 stores the request of the user 10, finds the phone number of the latter (second authentication factor of the user 10), and generates a one-time password (OTP) (step 2 of Figure 1);
  • OTP one-time password
  • the application server 20 communicates the one-time password generated and the telephone number of the user 10 to the PABX 30 (step 31 of FIG. 1);
  • the application server 20 informs the user 10 that he will receive, in a moment, a call - on the phone number that he previously filled - whose caller ID (Calle D) is the the one-time password he must submit (step 32 in Figure 1);
  • the PABX 30 sends a call to the telephone number of the user 10 by displaying in the caller ID the one-time password generated by the application server 20;
  • the user 10 submits the identifier of the caller which is displayed on his phone 11 (step 5 in Figure 1);
  • the application server 20 checks the match between the one-time password it has generated and that submitted to it by the user 10 (step 6 in FIG. 1);
  • the application server 20 informs the user 10 success / failure of its authentication (step 7 in Figure 1).
  • the user 20 is provided with a user equipment combining a telephone terminal and a computer terminal such as a smartphone, or a computer / laptop for example.
  • a user equipment combining a telephone terminal and a computer terminal such as a smartphone, or a computer / laptop for example.
  • the user 10 is provided with a user equipment combining a telephone terminal and a computer terminal such as a smartphone, or a computer / laptop for example.
  • the user 10 is provided with a user equipment combining a telephone terminal and a computer terminal such as a smartphone, or a computer / laptop for example.
  • the user 10 is provided with a user equipment combining a telephone terminal and a computer terminal such as a smartphone, or a computer / laptop for example.
  • the user 10 is provided with a user equipment combining a telephone terminal and a computer terminal such as a smartphone, or a computer / laptop for example.
  • the user 10 is provided with a user equipment combining a telephone terminal and a computer terminal such as a smartphone
  • - identifies itself with the remote server 20 using at least one identifier of its own (a login and password for example);
  • the remote server 20 searches for the telephone number associated with the identity declared by the user 10, this information being communicated to him during a prior phase (a registration phase for the online service, for example);
  • the remote server 20 generates an OTP
  • the remote server 20 transmits the telephone number of the user 20 and the OTP generated to the PABX 30;
  • the remote server 20 asks the user to submit the caller ID (CalleMD) of the call that he will receive in a moment;
  • the PABX 30 initiates a call to the telephone number transmitted to it by presenting the OTP in the caller ID (CallerJD);
  • the user 10 enters the caller ID (CalleMD) of the call he has just received and submits it to the remote server 20 (the user enters the caller ID (CalleMD) in a form it submits to the remote server for example);
  • the remote server 20 checks the correspondence between the message submitted by the user and the generated OTP, and informs the user of the result (that is to say, the success or failure of its authentication).
  • a software application is arranged to recover the caller ID of the last incoming call. in order to submit it to the remote server.
  • this software application is launched by the user from the electronic form giving access to the online service. Alternatively, this application is launched automatically as soon as the user has requested access to the online service.
  • the software application is attached to the electronic form for accessing the online service.
  • this software application makes it possible to reduce the interventions of the user in the authentication method.
  • the software application distributed between the two terminals 11 and 12, makes it possible to send to the computer terminal 11 the caller ID of the last incoming call to the telephone terminal 11.
  • the software application can use, for example, a short-range radio communication interface ( Bluetooth TM for example) shared by the computer terminal 11 and the telephone terminal 12.
  • Bluetooth TM for example
  • an OTP can be generated according to any method known in the state of the art (software, hardware random / pseudo-random, dependent / independent of authentication factors for example).
  • the identifier of the caller (Calle D) displayed to the user 10 makes it possible to extract or deduce the OTP (using a selection or decryption function). for example) generated by the information system 20.
  • This function is provided to the user 10 on his computer terminal 11 and / or his telephone terminal 12.
  • the single-use password authentication method described above can be deployed in combination with other security methods (secure exchange protocols such as SSH, or SSL for example).
  • secure exchange protocols such as SSH, or SSL for example.
  • the process just described has a number of advantages. It allows - to ensure mutual authentication between the user 10 and the information system 20;
  • the identity of the user (login / password for example) and the OTP are transmitted on two different communication channels.

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Finance (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Telephonic Communication Services (AREA)
  • Sub-Exchange Stations And Push- Button Telephones (AREA)

Abstract

Method of authentication by single-use password of a user (10) provided with a computer terminal (11) and with a telephone terminal (12) and wishing to access an on-line resource from an information system (20), this method including a step of triggering a call to said telephone terminal with an identifier of the calling party comprising the single-use password.

Description

AUTHENTI FI CATION FORTE PAR PRESENTATION DU NUMERO  AUTHENTI STRONG FI CATION BY PRESENTATION OF THE NUMBER
La présente invention se rapporte au domaine technique de la sécurisation de l'accès à des ressources en ligne, et plus particulièrement à l'authentification d'un utilisateur souhaitant accéder à un service en ligne depuis un réseau informatique public tel qu'Internet. The present invention relates to the technical field of securing access to online resources, and more particularly to the authentication of a user wishing to access an online service from a public computer network such as the Internet.
Par « authentification » dans les systèmes informatiques, on entend, ici, la vérification de l'identité d'une entité (une personne, un ordinateur, un processus informatique par exemple) afin d'autoriser l'accès de cette entité à des ressources (services, réseaux, systèmes, applications par exemple). On désigne, ci-après, ces entités par le terme « utilisateur ». By "authentication" in computer systems is meant, here, the verification of the identity of an entity (a person, a computer, a computer process for example) to allow access of this entity to resources (services, networks, systems, applications for example). These entities are referred to below as the "user".
La mise en ligne de ressources sur des réseaux informatiques publics du type internet présente d'énormes avantages, que ce soit pour les utilisateurs ou pour les sociétés, notamment celles à caractère commercial (e-banking, e-commerce par exemple). Le nombre croissant ainsi que l'usage grandissant des services en ligne en témoignent. The putting on line of resources on public computer networks of the Internet type has enormous advantages, whether for the users or the companies, in particular those with a commercial nature (e-banking, e-commerce for example). The growing number and increasing use of online services testify to this.
Ceci a naturellement éveillé l'intérêt des cybercriminels (« hackers »), et le nombre de programmes conçus pour dérober des données permettant d'accéder frauduleusement à des ressources en ligne a fortement augmenté. A cet égard, des techniques d'authentification robustes sont plus que jamais nécessaires, tant pour les utilisateurs que pour les sociétés. En effet, d'une part un utilisateur doit pouvoir être certain qu'il accède bien au serveur du service qu'il sollicite (et auquel il va peut-être transmettre des données personnelles telles que des coordonnées bancaires) et d'autre part ce serveur doit être aussi certain que cet utilisateur corresponde bien à celui qui s'est préalablement enregistré auprès de lui et qu'il ne s'agit donc pas d'un fraudeur. Un tiers mal intentionné se faisant passer pour un utilisateur légitime pour effectuer, par exemple, une transaction bancaire en ligne ne peut certainement plaire ni à l'utilisateur légitime ni à la banque proposant ce service en ligne. This has naturally aroused the interest of cybercriminals ("hackers"), and the number of programs designed to steal data to fraudulently access online resources has increased sharply. In this respect, robust authentication techniques are more than ever necessary for both users and companies. On the one hand, a user must be able to be certain that he / she is accessing the server of the service he / she is requesting (and to which he / she may be transmitting personal data such as bank details) and on the other hand server must be as certain that this user corresponds well to the one who has previously registered with him and that it is therefore not a fraudster. A malicious third party posing as a legitimate user to perform, for example, an online banking transaction certainly can please neither the legitimate user nor the bank offering this online service.
On distingue dans l'état de l'art différentes méthodes permettant de vérifier l'authenticité d'un utilisateur travaillant dans un environnement en mode client/serveur et sollicitant l'accès à une ressource en ligne. Une authentification peut se faire sur plusieurs facteurs : In the state of the art, there are different methods for verifying the authenticity of a user working in a working environment. client / server and requesting access to an online resource. Authentication can be done on several factors:
- une donnée connue par l'utilisateur telle qu'un mot de passe ; a data item known to the user, such as a password;
- un objet que possède l'utilisateur, par exemple une carte magnétique ou une carte à puce ;  an object possessed by the user, for example a magnetic card or a smart card;
- une action que seul sait faire l'utilisateur, par exemple une signature manuscrite sur un écran tactile ;  an action that only the user can do, for example a handwritten signature on a touch screen;
- une caractéristique physique propre à l'utilisateur, telle qu'une empreinte digitale. Actuellement, la méthode la plus largement employée pour effectuer une authentification d'un utilisateur auprès d'un serveur distant se base sur un mot de passe statique combiné avec un identifiant (login). L'avantage d'une telle méthode est qu'elle peut être implémentée entièrement par logiciel, évitant donc un coût matériel (hardware) supplémentaire. Cependant, l'espionnage des connexions réseaux dans le but de recueillir des identités d'utilisateurs légitimes handicape cette méthode. Des identités ainsi usurpées peuvent être ultérieurement utilisées. Les techniques de hachage ou de cryptage des mots de passe ne peuvent résoudre complètement cette problématique parce qu'ils ne font que déporter la menace depuis le lien réseau vers le terminal utilisateur, où il n'est désormais pas rare de trouver de nombreuses applications malveillantes (malware).  a specific physical characteristic of the user, such as a fingerprint. Currently, the most widely used method to perform a user authentication to a remote server is based on a static password combined with an identifier (login). The advantage of such a method is that it can be implemented entirely by software, thus avoiding an additional hardware cost. However, spying on network connections in order to collect legitimate user identities handicaps this method. Identities thus usurped can be used later. Hashing or encrypting passwords can not completely solve this problem because they only deport the threat from the network link to the user terminal, where it is now not uncommon to find many malicious applications (malware).
Les techniques d'authentification basées sur des moyens fournis aux utilisateurs, tels qu'un jeton d'authentification, une carte à puce, une carte intelligente, ou une clé USB ont l'inconvénient de nécessiter un coût hardware supplémentaire. Authentication techniques based on means provided to users, such as an authentication token, a smart card, a smart card, or a USB key have the disadvantage of requiring an additional hardware cost.
Par ailleurs, les méthodes biométriques d'authentification sont généralement complexes et demandent une étape de caractérisation préalable fastidieuse. Pour palier les limites des méthodes d'authentification à un seul facteur, notamment l'utilisation de mots de passe statiques, sont apparues des solutions d'authentification combinant deux facteurs : une donnée connue par l'utilisateur (par exemple un mot de passe) et un item que possède l'utilisateur (tel qu'un numéro de téléphone ou une adresse électronique). On parle dans ce cas d'authentification forte. Parmi ces méthodes existent la solution d'authentification basée sur des mots de passe à usage unique (aussi dits OTP pour One-Time Password). Moreover, the biometric authentication methods are generally complex and require a fastidious preliminary characterization step. To overcome the limitations of single-factor authentication methods, including the use of static passwords, authentication solutions have emerged that combine two factors: known data by the user (for example a password) and an item that the user owns (such as a phone number or an email address). In this case we speak of strong authentication. Among these methods exist the authentication solution based on one-time password (also called OTP for One-Time Password).
Comme son nom l'indique, le mot de passe à usage unique (OTP) ne peut être utilisé comme moyen d'authentification que pour une seule session. Ainsi, un nouvel OTP est généré, généralement d'une manière aléatoire ou pseudo-aléatoire, et ensuite communiqué à l'utilisateur à chaque nouvelle demande d'accès émise par l'utilisateur auprès du serveur distant. L'utilisateur soumet cet OTP au serveur distant comme une preuve de l'authenticité de son identité, qu'il a déclarée à l'aide de son login/mot de passe par exemple. Par conséquent, l'usurpation des logins/mots de passe statiques, que ce soit depuis le terminal utilisateur ou depuis le lien réseau reliant le terminal utilisateur au serveur, devient superflu puisque qu'un OTP devient caduc dès lors qu'il a été utilisé. As the name suggests, the one-time password (OTP) can only be used as a means of authentication for a single session. Thus, a new OTP is generated, generally in a random or pseudo-random manner, and then communicated to the user with each new access request issued by the user to the remote server. The user submits this OTP to the remote server as a proof of the authenticity of his identity, which he has declared using his login / password for example. Consequently, the usurpation of the static logins / passwords, whether from the user terminal or from the network link connecting the user terminal to the server, becomes superfluous since an OTP becomes obsolete once it has been used. .
Pour garantir une réelle sécurité, un OTP est généralement communiqué à l'utilisateur via un autre canal que celui établi entre le terminal utilisateur et le serveur. En effet, un OTP est généralement envoyé à l'utilisateur par SMS (Short Service Message), par MMS (Multimedia Messaging Service) ou par message vocal en utilisant le deuxième facteur d'authentification, à savoir le numéro de téléphone que l'utilisateur possède et qu'il a préalablement fourni au serveur distant. To guarantee real security, an OTP is generally communicated to the user via a channel other than that established between the user terminal and the server. Indeed, an OTP is generally sent to the user by SMS (Short Service Message), by MMS (Multimedia Messaging Service) or by voice message using the second authentication factor, namely the telephone number that the user owns and has previously provided to the remote server.
Toutefois, l'envoi d'un OTP (par SMS, par MMS ou par message vocal par exemple) sur un téléphone engendre certainement un coût financier supplémentaire pour les fournisseurs des services en ligne (ceci n'étant pas gratuit à ce jour). On comprendra que l'envoi des OTPs par SMS à un millier de clients utilisant mensuellement un service en ligne proposé par une PME représente une charge financière non négligeable pour cette entreprise. However, sending an OTP (by SMS, MMS or voice message for example) to a phone certainly generates an additional financial cost for the providers of online services (this is not free to date). It will be understood that the sending of OTPs by SMS to a thousand customers using a monthly online service offered by an SME represents a significant financial burden for this company.
Un objet de la présente invention est de remédier aux inconvénients précités. Un autre objet de la présente invention est de déployer une solution d'authentification forte à plus faible coût. An object of the present invention is to overcome the aforementioned drawbacks. Another object of the present invention is to deploy a strong authentication solution at lower cost.
Un autre objet de la présente invention est de réduire le coût financier nécessaire à garantir la sécurité des sites marchands. Un autre objet de l'invention est de permettre à un utilisateur, typiquement un internaute, d'accéder à des services en ligne de manière simple et sécurisée. Another object of the present invention is to reduce the financial cost necessary to guarantee the security of the merchant sites. Another object of the invention is to allow a user, typically a user, to access online services in a simple and secure manner.
Un autre objet de la présente invention est de proposer une méthode d'authentification forte permettant de sécuriser les accès aux ressources en ligne depuis un réseau non sécurisé. Another object of the present invention is to provide a strong authentication method for securing access to online resources from an insecure network.
A cette fin, l'invention se rapporte, selon un premier aspect, à un procédé d'authentification par mot de passe à usage unique d'un utilisateur pourvu d'un terminal informatique et d'un terminal téléphonique et souhaitant accéder à une ressource en ligne auprès d'un système d'information, ce procédé incluant une étape de déclenchement d'un appel vers ledit terminal téléphonique avec un identifiant de l'appelant comprenant le mot de passe à usage unique. To this end, the invention relates, according to a first aspect, to a single-use password authentication method of a user provided with a computer terminal and a telephone terminal and wishing to access a resource. online to an information system, the method including a step of initiating a call to said telephone terminal with a caller ID including the one-time password.
L'invention se rapporte, selon un deuxième aspect, à un système d'authentification par mot de passe à usage unique d'un utilisateur pourvu d'un terminal informatique et d'un terminal téléphonique et souhaitant accéder à une ressource en ligne auprès d'un système d'information, ce système incluant un autocommutateur téléphonique privé agencé pour déclencher un appel vers ledit terminal téléphonique avec un identifiant de l'appelant comprenant le mot de passe à usage unique. L'invention se rapporte, selon un troisième aspect, à un produit programme d'ordinateur implémenté sur un support mémoire, susceptible d'être mis en œuvre au sein d'une unité de traitement informatique et comprenant des instructions pour la mise en œuvre du procédé résumé ci-dessus. According to a second aspect, the invention relates to a one-time password authentication system of a user provided with a computer terminal and a telephone terminal and wishing to access an online resource from a user. an information system, this system including a private branch exchange arranged to trigger a call to said telephone terminal with a caller ID including the one-time password. According to a third aspect, the invention relates to a computer program product implemented on a memory medium that can be implemented within a computer processing unit and includes instructions for implementing the process summarized above.
D'autres caractéristiques et avantages de l'invention apparaîtront plus clairement et de manière concrète à la lecture de la description ci-après de modes de réalisation préférés, laquelle est faite en référence à la figure 1 annexée qui illustre schématiquement une représentation fonctionnelle d'un mode de réalisation. Other features and advantages of the invention will appear more clearly and concretely on reading the following description of preferred embodiments, which is made with reference to FIG. attached which schematically illustrates a functional representation of an embodiment.
Sur la figure 1 on a représenté un utilisateur 10 souhaitant accéder à distance, via un terminal informatique 11, à une ressource en ligne mise à sa disposition par un système d'information 20. FIG. 1 shows a user 10 wishing to remotely access, via a computer terminal 11, to an online resource made available by an information system 20.
Le terminal informatique 11 peut être tout équipement utilisateur permettant à un utilisateur 10 de se connecter à un réseau informatique, notamment Internet, à partir duquel la ressource en ligne proposée par le système d'information 20 est accessible. Un ordinateur fixe/portable personnel/public, un PDA (Personal Digital Assistant), ou un Smartphone (un téléphone intelligent) sont des exemples de terminal informatique 10. The computer terminal 11 may be any user equipment allowing a user 10 to connect to a computer network, including the Internet, from which the online resource proposed by the information system 20 is accessible. A personal computer / portable / public computer, a PDA (Personal Digital Assistant), or a smartphone (a smart phone) are examples of computer terminals 10.
Le système d'information 20 peut être tout moyen informatique matériel et/ou logiciel mettant à la disposition de l'utilisateur 10 une ressource en ligne, notamment un service en ligne, accessible depuis un terminal informatique 11. Un serveur d'application, un serveur Web hébergeant un site Web e-commerce, ou une pluralité de serveurs coopératifs sont des exemples de système d'information 20. The information system 20 may be any hardware and / or software computer means making available to the user 10 an on-line resource, in particular an online service, accessible from a computer terminal 11. An application server, a Web server hosting an e-commerce website, or a plurality of cooperative servers are examples of information system 20.
L'utilisateur 10 dispose également d'un terminal téléphonique 12 associé à au moins un numéro d'appel (numéro de téléphone). Ce terminal téléphonique 12 est, par exemple, un téléphone mobile, un Smartphone ou un PDA comprenant une carte SIM (Subscriber Identity Module) ou USIM (Universal Subscriber Identity Module) ; The user 10 also has a telephone terminal 12 associated with at least one telephone number (telephone number). This telephone terminal 12 is, for example, a mobile phone, a smartphone or a PDA comprising a SIM (Subscriber Identity Module) or USIM (Universal Subscriber Identity Module);
un téléphone fixe analogique ou numérique ;  an analog or digital fixed telephone;
- un Softphone ayant un numéro de téléphone (par exemple Skype™ In).  - a Softphone with a phone number (eg Skype ™ In).
Dans une mise en œuvre avantageuse, le terminal téléphonique 12 est un téléphone mobile ou un Smartphone. Ce cas n'est bien entendu pas limitatif. Le terminal téléphonique 12 permet la présentation à l'appelé du numéro de l'appelant (en anglais, Calle D pour Caller Identification ou CLIP pour Calling Line Identification Présentation). Autrement dit, le terminal téléphonique 12 fournit à l'appelée le numéro, ou plus généralement l'identifiant de l'appelant. L'identifiant de l'appelant peut être affiché sur l'écran du terminal téléphonique 12, s'il en a un, ou sur un appareil à part. En variante ou en combinaison, l'identifiant d'un appel entrant au terminal téléphonique 12 peut être In an advantageous implementation, the telephone terminal 12 is a mobile phone or a smartphone. This case is of course not limiting. The telephone terminal 12 allows the presentation to the called party of the caller's number (in English, Calle D for Caller Identification or CLIP for Calling Line Identification Presentation). In other words, the telephone terminal 12 provides the call number, or more generally the identifier of the caller. The identifier of the caller may be displayed on the screen of the telephone terminal 12, if it has one, or on a separate device. Alternatively or in combination, the identifier of an incoming call to the telephone terminal 12 may be
- affiché depuis un répertoire compris dans ce terminal (journal des appels, appels manqués, appels en absence par exemple), et/ou- displayed from a directory included in this terminal (call log, missed calls, missed calls for example), and / or
- obtenu en composant un certain numéro (par exemple, pour un abonné France Telecom™, composer le 3131 pour avoir le numéro du dernier appelant). - obtained by dialing a certain number (for example, for a France Telecom ™ subscriber, dial 3131 to get the number of the last caller).
Notamment, le terminal informatique 11 et le terminal téléphonique 12 peuvent être compris dans un seul équipement utilisateur tel que : un ordinateur fixe/mobile comprenant un Softphone ; ou In particular, the computer terminal 11 and the telephone terminal 12 may be included in a single user equipment such as: a fixed / mobile computer comprising a softphone; or
- un Smartphone ou un PDA permettant un service de données (DATA) en plus de sa fonction en tant que téléphone.  - a smartphone or PDA allowing a data service (DATA) in addition to its function as a telephone.
Dans une mise en œuvre d'un mode de réalisation illustré sur la figure 1, l'utilisateur 10 souhaite accéder à une ressource mise en ligne par le système d'information 20 et nécessitant une authentification forte (étape 1 sur la figure 1). A titre d'exemple, l'utilisateur 10 souhaite effectuer une transaction (virement, achat, vente par exemple) en ligne sur un site Web (bancaire, ou e-commerce par exemple) hébergé par le système d'information 20. Pour se connecter au système d'information 20 distant du site Web auquel il veut accéder, l'utilisateur 10 utilise le terminal informatique 11 de manière classique en entrant l'adresse Web du site. In an implementation of an embodiment illustrated in FIG. 1, the user 10 wishes to access a resource put online by the information system 20 and requiring strong authentication (step 1 in FIG. 1). For example, the user 10 wishes to perform a transaction (transfer, purchase, sale for example) online on a website (bank, or e-commerce for example) hosted by the information system 20. To To connect to the remote information system 20 of the Web site to which it wishes to access, the user 10 uses the computer terminal 11 in a conventional manner by entering the web address of the site.
S'agissant d'une ressource en ligne nécessitant une authentification forte, le système d'information 20 est agencé pour vérifier l'authenticité de l'identité de l'utilisateur 10 que ce dernier a déclaré, par exemple, à l'aide d'un login/mot de passe. Pour cela, le système d'information 20 (étape 2 sur la figure 1 ) mémorise la demande de l'utilisateur 10 ; recherche le numéro de téléphone (c.à.d. le deuxième facteur d'authentification) que l'utilisateur 10 a préalablement fourni au cours d'une session antérieure. Bien entendu, ceci suppose que l'utilisateur 10 a préalablement renseigné son profil (au moins, un login, un mot de passe et un numéro de téléphone) auprès du système d'information 20 en y indiquant le numéro de téléphone de son terminal téléphonique 12 ; Being an online resource requiring strong authentication, the information system 20 is arranged to verify the authenticity of the identity of the user 10 that the latter said, for example, with the help of 'a login / password. For this, the information system 20 (step 2 in Figure 1) stores the request of the user 10; searches for the telephone number (ie the second authentication factor) that the user 10 previously provided during a previous session. Of course, this assumes that the user 10 has previously entered his profile (at least a login, a password and a telephone number) with the information system 20 by indicating the telephone number of his telephone terminal. 12;
- génère un OTP que l'utilisateur 10 ne peut connaître à l'avance. Cet OTP est généralement généré d'une manière aléatoire ou pseudo- aléatoire.  generates an OTP that the user can not know in advance. This OTP is usually generated in a random or pseudo-random manner.
Ensuite, le système d'information 20 Then the information system 20
- communique (étape 31 sur la figure 1) ΙΌΤΡ généré et le numéro de téléphone de l'utilisateur 10 à l'autocommutateur téléphonique privé 30, aussi dit PBX ou PABX pour Private Automatic Branch eXchange, et - communicates (step 31 in Figure 1) ΙΌΤΡ generated and the telephone number of the user 10 to the private branch exchange 30, also called PBX or PABX for Private Automatic Branch eXchange, and
informe (étape 32 sur la figure 1) l'utilisateur 10  informs (step 32 in FIG. 1) the user 10
o qu'il va instantanément recevoir un appel sur le numéro de téléphone qu'il a préalablement fourni (c.à.d. le numéro de téléphone du terminal téléphonique 12 en sa possession) ; et o qu'il doit lui soumettre (retourner) l'identifiant de l'appelant o that he will instantly receive a call on the telephone number that he has previously provided (ie the telephone number of the telephone terminal 12 in his possession); and o that he must submit (return) the caller ID
(CallerJD). (CallerJD).
Le PABX 30 peut être aussi un PABX IP, qui est une évolution vers ΙΊΡ (Internet Protocol) du BAPX traditionnel. The PABX 30 can also be an IP PBX, which is an evolution towards ΙΊΡ (Internet Protocol) of the traditional BAPX.
Avantageusement, une des fonctionnalités natives du PABX 30 est de pouvoir changer le numéro de l'appelant (CalleMD) à la demande. Advantageously, one of the native features of PABX 30 is to be able to change the number of the caller (Calle®) on demand.
De ce fait, en utilisant le numéro de téléphone et l'OTP qui lui sont transmis depuis le système d'information 20, le PABX 30 est agencé pour (étape 4 sur la figure 1) déclencher un appel sur le terminal téléphonique 12 de l'utilisateur 10 tout en présentant l'OTP dans l'identifiant de l'appelant (c'est-à-dire dans le CalleMD). Il en résulte que l'OTP est transporté directement sur l'afficheur du terminal téléphonique 12, en lieu et place de la présentation du numéro de l'appelant. Il est à noter que l'appel déclenché par le PABX 30 vers le terminal téléphonique 12 vise à fournir ΙΌΤΡ et non pas à établir une conversation. Cet appel ne prend donc que le temps nécessaire et suffisant pour fournir ΙΌΤΡ au terminal téléphonique 12, autrement dit, avant que l'utilisateur 10 ne décroche. Par conséquent, le PABX 30 est programmé pour interrompre l'appel émis dès la première ou la deuxième sonnerie par exemple. Therefore, using the telephone number and the OTP which are transmitted to it from the information system 20, the PABX 30 is arranged for (step 4 in FIG. 1) to trigger a call on the telephone terminal 12 of the 10 while presenting the OTP in the caller ID (i.e., in CalleMD). As a result, the OTP is transported directly on the display of the telephone terminal 12, in place of the presentation of the caller's number. It should be noted that the call triggered by PABX 30 to the telephone terminal 12 aims to provide ΙΌΤΡ and not to establish a conversation. This call therefore takes only the necessary and sufficient time to provide ΙΌΤΡ to the telephone terminal 12, in other words, before the user 10 picks up. Therefore, the PABX 30 is programmed to interrupt the call made at the first or second ring for example.
L'utilisateur 10 saisit (étape 5 sur la figure 1) l'identifiant de l'appelant (Caller_ID) qui lui est affiché sur son terminal téléphonique 12 conformément à ce que lui a été demandé par le système d'information 20. A titre d'exemple, l'utilisateur 10 saisit l'identifiant de l'appelant dans une zone dédiée (un certain champ dans un formulaire électronique par exemple), et le soumet au système d'information 20. The user 10 enters (step 5 in FIG. 1) the identifier of the caller (Caller_ID) which is displayed on his telephone terminal 12 in accordance with what has been requested by the information system 20. for example, the user 10 enters the identifier of the caller in a dedicated zone (a certain field in an electronic form for example), and submits it to the information system 20.
En variante, le système d'information 20 demande à l'utilisateur 10 de ne lui retourner qu'une partie précise de l'identifiant de l'appelant d'un appel entrant qu'il va instantanément recevoir sur son terminal téléphonique 12. In a variant, the information system 20 requests the user 10 to return only a specific portion of the caller ID of an incoming call that he will instantly receive on his telephone terminal 12.
Le système d'information 20 vérifie (étape 6 sur la figure 1) la validité du message qui lui est soumis en retour par l'utilisateur 10 et, en conséquence, autorise ou refuse l'accès sollicité par l'utilisateur 10. Pour cela, le système d'information 20 comprend des moyens permettant de vérifier la concordance entre le message soumis par l'utilisateur 10 et l'OTP qui a été généré et communiqué au PABX 30. En cas de concordance du contenu soumis par l'utilisateur 10 (étape 5 sur la figure 1) avec celui généré par le système d'information 20, l'utilisateur 10 est authentifié de manière certaine par le système d'information 20. Le système d'information 20 dirige, dans ce cas, l'utilisateur 10 vers la ressource sollicitée. The information system 20 checks (step 6 in FIG. 1) the validity of the message that is submitted to it by the user 10 and, consequently, authorizes or refuses the access requested by the user 10. For that the information system 20 includes means for checking the correspondence between the message submitted by the user 10 and the OTP that has been generated and communicated to the PABX 30. In case of matching the content submitted by the user 10 (step 5 in FIG. 1) with that generated by the information system 20, the user 10 is certainly authenticated by the information system 20. The information system 20 directs, in this case, the user 10 to the requested resource.
L'utilisateur 10 est informé du résultat de son authentification (étape 7 sur la figure 1 ). The user 10 is informed of the result of his authentication (step 7 in FIG. 1).
Dans une mise en œuvre illustrative du procédé décrit ci-dessus, l'internaute 10 émet un message de demande d'accès depuis son ordinateur 11, vers un serveur d'application 20 hébergeant un site bancaire afin d'effectuer une certaine transaction (étape 1 sur la figure 1); le serveur d'application 20 mémorise la requête de l'internaute 10, retrouve le numéro de téléphone de ce dernier (deuxième facteur d'authentification de l'internaute 10), et génère un mot de passe à usage unique (OTP) (étape 2 de la figure 1); In an illustrative implementation of the method described above, the user 10 transmits an access request message from his computer 11, to an application server 20 hosting a banking site in order to perform a certain transaction (step 1 in Figure 1); the application server 20 stores the request of the user 10, finds the phone number of the latter (second authentication factor of the user 10), and generates a one-time password (OTP) (step 2 of Figure 1);
- le serveur d'application 20 communique le mot de passe à usage unique généré et le numéro de téléphone de l'internaute 10 au PABX 30 (étape 31 de la figure 1) ;  the application server 20 communicates the one-time password generated and the telephone number of the user 10 to the PABX 30 (step 31 of FIG. 1);
le serveur d'application 20 informe l'internaute 10 qu'il va recevoir, dans un instant, un appel - sur le numéro de téléphone qu'il a précédemment renseigné - dont l'identifiant de l'appelant (Calle D) est le mot de passe à usage unique qu'il doit lui soumettre (étape 32 sur la figure 1 );  the application server 20 informs the user 10 that he will receive, in a moment, a call - on the phone number that he previously filled - whose caller ID (Calle D) is the the one-time password he must submit (step 32 in Figure 1);
le PABX 30 émet un appel vers le numéro de téléphone de l'internaute 10 en affichant dans l'identifiant de l'appelant le mot de passe à usage unique généré par le serveur d'application 20;  the PABX 30 sends a call to the telephone number of the user 10 by displaying in the caller ID the one-time password generated by the application server 20;
l'internaute 10 soumet l'identifiant de l'appelant qui lui est affiché sur son téléphone 11 (étape 5 sur la figure 1);  the user 10 submits the identifier of the caller which is displayed on his phone 11 (step 5 in Figure 1);
le serveur d'application 20 vérifie la concordance entre le mot de passe à usage unique qu'il a généré et celui qui lui a été soumis par l'internaute 10 (étape 6 sur la figure 1);  the application server 20 checks the match between the one-time password it has generated and that submitted to it by the user 10 (step 6 in FIG. 1);
le serveur d'application 20 informe l'internaute 10 du succès/échec de son authentification (étape 7 sur la figure 1).  the application server 20 informs the user 10 success / failure of its authentication (step 7 in Figure 1).
Dans une autre mise en œuvre illustrative d'un mode de réalisation, l'utilisateur 20 est pourvu d'un équipement utilisateur combinant un terminal téléphonique et un terminal informatique tel qu'un Smartphone, ou un ordinateur fixe/portable par exemple. Dans ce cas, l'utilisateur 10 In another illustrative implementation of an embodiment, the user 20 is provided with a user equipment combining a telephone terminal and a computer terminal such as a smartphone, or a computer / laptop for example. In this case, the user 10
- se connecte au serveur distant 20 à partir de son Smartphone (par exemple, ouvre la page Web d'un service en ligne proposé par le serveur distant 20); - Connects to the remote server 20 from its Smartphone (for example, opens the web page of an online service offered by the remote server 20);
- s'identifie auprès du serveur distant 20 à l'aide d'au moins un identifiant qui lui est propre (un login et un mot de passe par exemple) ;  - identifies itself with the remote server 20 using at least one identifier of its own (a login and password for example);
requière la connexion au service en ligne auprès du serveur distant 20 (requière la réalisation d'une transaction en ligne par exemple); le serveur distant 20 recherche le numéro de téléphone associé à l'identité déclarée par l'utilisateur 10, ces informations lui étant communiquées lors d'une phase préalable (une phase d'inscription au service en ligne par exemple) ; requires the connection to the online service with the remote server 20 (requires the completion of an online transaction, for example); the remote server 20 searches for the telephone number associated with the identity declared by the user 10, this information being communicated to him during a prior phase (a registration phase for the online service, for example);
le serveur distant 20 génère un OTP ;  the remote server 20 generates an OTP;
le serveur distant 20 transmet le numéro de téléphone de l'utilisateur 20 et l'OTP généré au PABX 30 ;  the remote server 20 transmits the telephone number of the user 20 and the OTP generated to the PABX 30;
le serveur distant 20 demande à l'utilisateur de lui soumettre l'identifiant de l'appelant (CalleMD) de l'appel qu'il va recevoir dans un instant ;  the remote server 20 asks the user to submit the caller ID (CalleMD) of the call that he will receive in a moment;
le PABX 30 déclenche un appel au numéro de téléphone qui lui est transmis en présentant l'OTP dans l'identifiant de l'appelant (CallerJD) ;  the PABX 30 initiates a call to the telephone number transmitted to it by presenting the OTP in the caller ID (CallerJD);
l'utilisateur 10 saisie l'identifiant de l'appelant (CalleMD) de l'appel qu'il vient de recevoir et le soumet au serveur distant 20 (l'utilisateur 20 saisie l'identifiant de l'appelant (CalleMD) dans un formulaire qu'il soumet au serveur distant par exemple) ;  the user 10 enters the caller ID (CalleMD) of the call he has just received and submits it to the remote server 20 (the user enters the caller ID (CalleMD) in a form it submits to the remote server for example);
le serveur distant 20 vérifie la concordance entre le message soumis par l'utilisateur et l'OTP généré, et informe l'utilisateur du résultat (c'est-à-dire, le succès ou l'échec de son authentification).  the remote server 20 checks the correspondence between the message submitted by the user and the generated OTP, and informs the user of the result (that is to say, the success or failure of its authentication).
Dans un mode préféré de réalisation, lorsque le terminal informatique 11 et le téléphonique 12 sont compris dans un seul équipement utilisateur (notamment un ordinateur ou un Smartphone), une application logicielle est agencée pour récupérer l'identifiant de l'appelant du dernier appel entrant afin de le soumettre au serveur distant. Dans une mise en œuvre particulière, cette application logicielle est lancée par l'utilisateur depuis le formulaire électronique donnant accès au service en ligne. En variante, cette application est lancée automatiquement dès que l'utilisateur a requis l'accès au service en ligne. In a preferred embodiment, when the computer terminal 11 and the telephone 12 are included in a single user equipment (in particular a computer or a smartphone), a software application is arranged to recover the caller ID of the last incoming call. in order to submit it to the remote server. In a particular implementation, this software application is launched by the user from the electronic form giving access to the online service. Alternatively, this application is launched automatically as soon as the user has requested access to the online service.
Dans un mode de réalisation, l'application logicielle est jointe au formulaire électronique d'accès au service en ligne. Avantageusement, cette application logicielle permet de réduire les interventions de l'utilisateur dans le procédé d'authentification. Dans un autre mode de réalisation, lorsque le terminal téléphonique 12 et le terminal informatique 11 ne sont pas compris dans un seul équipement utilisateur (c'est-à-dire deux terminaux utilisateurs indépendants), l'application logicielle, répartie entre les deux terminaux 11 et 12, permet de faire parvenir au terminal informatique 11 l'identifiant de l'appelant du dernier appel entrant au terminal téléphonique 11. Pour cela, l'application logicielle peut utiliser, par exemple, une interface de communication radio de courte portée (Bluetooth™ par exemple) partagée par le terminal informatique 11 et le terminal téléphonique 12. II est à noter qu'un OTP, selon la présente invention, peut être généré suivant toute méthode connue dans l'état de l'art (logicielle, matérielle, aléatoire/pseudo-aléatoire, dépendant/indépendant des facteurs d'authentification par exemple). In one embodiment, the software application is attached to the electronic form for accessing the online service. Advantageously, this software application makes it possible to reduce the interventions of the user in the authentication method. In another embodiment, when the telephone terminal 12 and the computer terminal 11 are not included in a single user equipment (that is to say two independent user terminals), the software application, distributed between the two terminals 11 and 12, makes it possible to send to the computer terminal 11 the caller ID of the last incoming call to the telephone terminal 11. For this, the software application can use, for example, a short-range radio communication interface ( Bluetooth ™ for example) shared by the computer terminal 11 and the telephone terminal 12. It should be noted that an OTP, according to the present invention, can be generated according to any method known in the state of the art (software, hardware random / pseudo-random, dependent / independent of authentication factors for example).
Dans un mode de réalisation, l'identifiant de l'appelant (Calle D) affiché à l'utilisateur 10 permet d'en extraire ou d'en déduire l'OTP (à l'aide d'une fonction de sélection ou de décryptage par exemple) généré par le système d'information 20. Cette fonction est apportée à l'utilisateur 10 sur son terminal informatique 11 et/ou son terminal téléphonique 12. In one embodiment, the identifier of the caller (Calle D) displayed to the user 10 makes it possible to extract or deduce the OTP (using a selection or decryption function). for example) generated by the information system 20. This function is provided to the user 10 on his computer terminal 11 and / or his telephone terminal 12.
Notamment, le procédé d'authentification par mot de passe à usage unique décrit ci-dessus peut être déployé en combinaison avec d'autres méthodes de sécurisation (protocoles d'échange sécurisé tels que SSH, ou SSL par exemple). In particular, the single-use password authentication method described above can be deployed in combination with other security methods (secure exchange protocols such as SSH, or SSL for example).
Le procédé qui vient d'être décrit présente un certain nombre d'avantages. Il permet en effet - d'assurer une authentification mutuelle entre l'utilisateur 10 et le système d'information 20 ; The process just described has a number of advantages. It allows - to ensure mutual authentication between the user 10 and the information system 20;
- de réduire le coût d'une authentification par OTP : à encontre d'un SMS/MMS, un appel est généralement gratuit ;  - reduce the cost of authentication by OTP: against an SMS / MMS, a call is usually free;
- d'assurer la sécurité du procédé d'authentification : l'identité de l'utilisateur (login/mot de passe par exemple) et l'OTP sont transmis sur deux canaux de communication différents.  - To ensure the security of the authentication process: the identity of the user (login / password for example) and the OTP are transmitted on two different communication channels.

Claims

REVENDICATIONS
1. Procédé d'authentification par mot de passe à usage unique d'un utilisateur (10) pourvu d'un terminal informatique (11) et d'un terminal téléphonique (12) et souhaitant accéder à une ressource en ligne auprès d'un système d'information (20), ce procédé incluant une étape de déclenchement d'un appel vers ledit terminal téléphonique avec un identifiant de l'appelant comprenant le mot de passe à usage unique. A one-time password authentication method of a user (10) provided with a computer terminal (11) and a telephone terminal (12) and wishing to access an online resource from a information system (20), said method including a step of initiating a call to said telephone terminal with a caller ID including the one-time password.
2. Procédé selon la revendication 1, caractérisé en ce qu'il comprend, en outre, une étape de déclaration de l'identité de l'utilisateur auprès du système d'information (20), et une étape de demande d'accès auprès du système d'information. 2. Method according to claim 1, characterized in that it further comprises a step of declaring the identity of the user to the information system (20), and a step of requesting access from of the information system.
3. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce qu'il comprend, en outre, une étape de génération d'un mot de passe à usage unique. 3. Method according to any one of the preceding claims, characterized in that it further comprises a step of generating a one-time password.
4. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce qu'il comprend, en outre, une étape de communication d'un numéro de téléphone associé à l'identité déclarée et le mot de passe à usage unique généré à un autocommutateur téléphonique privé (30), ledit numéro de téléphone étant préalablement renseigné auprès dudit système d'information (20). 4. Method according to any one of the preceding claims, characterized in that it further comprises a step of communicating a telephone number associated with the declared identity and the one-time password generated to a user. private telephone exchange (30), said telephone number being previously informed with said information system (20).
5. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce qu'il comprend, en outre, une étape de soumission, auprès du serveur d'information (20), de l'identifiant de l'appelant d'un appel reçu sur le terminal téléphonique (12). 5. Method according to any one of the preceding claims, characterized in that it further comprises a step of submitting, to the information server (20), the identifier of the caller of a call. received on the telephone terminal (12).
6. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce qu'il comprend, en outre, une étape de vérification de la concordance entre un message soumis auprès du système d'information (20) et un mot de passe à usage unique généré par le système d'information (20). 6. Method according to any one of the preceding claims, characterized in that it further comprises a step of checking the concordance between a message submitted to the information system (20) and a password for use. unique generated by the information system (20).
7. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que l'identité de l'utilisateur comprend au moins un identifiant de l'utilisateur. 7. Method according to any one of the preceding claims, characterized in that the identity of the user comprises at least one identifier of the user.
8. Système d'authentification par mot de passe à usage unique d'un utilisateur (10) pourvu d'un terminal informatique (11) et d'un terminal téléphonique (12) et souhaitant accéder à une ressource en ligne auprès d'un système d'information (20), ce système incluant un autocommutateur téléphonique privé (30) agencé pour déclencher un appel vers ledit terminal téléphonique avec un identifiant de l'appelant comprenant le mot de passe à usage unique. A one-time password authentication system of a user (10) provided with a computer terminal (11) and a telephone terminal (12) and wishing to access an online resource from a information system (20), which system includes a private branch exchange (30) arranged to initiate a call to said telephone terminal with a caller ID including the one-time password.
9. Système selon la revendication précédente, caractérisé en ce que le système d'information (20) comprend - un moyen de génération de mots de passe à usage unique ; 9. System according to the preceding claim, characterized in that the information system (20) comprises - means for generating one-time passwords;
un moyen de communication, à un autocommutateur téléphonique privé (30), d'un mot de passe à usage unique et d'un numéro de téléphone ;  a means of communication, to a private branch exchange (30), a one-time password and a telephone number;
un moyen de vérification de la concordance entre un mot de passe à usage unique généré et un message soumis auprès du système d'information (20).  means for verifying the match between a generated one-time password and a message submitted to the information system (20).
10. Système selon l'une quelconque des revendications 8 ou 9, caractérisé en ce que le terminal informatique (11) et le terminal téléphonique (12) sont compris dans un seul équipement utilisateur. 10. System according to any one of claims 8 or 9, characterized in that the computer terminal (11) and the telephone terminal (12) are included in a single user equipment.
11. Produit programme d'ordinateur implémenté sur un support mémoire, susceptible d'être mis en œuvre au sein d'une unité de traitement informatique et comprenant des instructions pour la mise en œuvre d'un procédé selon l'une des revendications 1 à 7. 11. Computer program product implemented on a memory medium, capable of being implemented within a computer processing unit and comprising instructions for the implementation of a method according to one of claims 1 to 7.
12. Produit programme d'ordinateur selon la revendication précédente caractérisé en ce qu'il comprend une application logicielle agencée pour faire parvenir, à un terminal informatique (11), l'identifiant de l'appelant du dernier appel entrant à un terminal téléphonique (12). 12. Computer program product according to the preceding claim characterized in that it comprises a software application arranged to send, to a computer terminal (11), the caller ID of the last incoming call to a telephone terminal ( 12).
EP12717417.5A 2011-03-30 2012-03-29 Strong authentication by presentation of the number Withdrawn EP2692122A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1152664A FR2973618B1 (en) 2011-03-30 2011-03-30 STRONG AUTHENTICATION BY PRESENTATION OF THE NUMBER
PCT/FR2012/050672 WO2012131268A1 (en) 2011-03-30 2012-03-29 Strong authentication by presentation of the number

Publications (1)

Publication Number Publication Date
EP2692122A1 true EP2692122A1 (en) 2014-02-05

Family

ID=46017976

Family Applications (1)

Application Number Title Priority Date Filing Date
EP12717417.5A Withdrawn EP2692122A1 (en) 2011-03-30 2012-03-29 Strong authentication by presentation of the number

Country Status (6)

Country Link
US (1) US9602504B2 (en)
EP (1) EP2692122A1 (en)
CN (2) CN103597806A (en)
FR (1) FR2973618B1 (en)
RU (1) RU2570838C2 (en)
WO (1) WO2012131268A1 (en)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10778680B2 (en) * 2013-08-02 2020-09-15 Alibaba Group Holding Limited Method and apparatus for accessing website
US9485169B2 (en) 2014-07-23 2016-11-01 Nexmo Inc. Systems and methods for adaptive routing
US9516480B2 (en) 2014-11-24 2016-12-06 Nexmo Inc. Identity and phone number verification
US10356567B2 (en) 2014-11-24 2019-07-16 Nexmo, Inc. Multi-channel communication system
US10716003B2 (en) 2014-11-24 2020-07-14 Nexmo, Inc. Identity and phone number verification
US9660999B2 (en) 2015-02-06 2017-05-23 Microsoft Technology Licensing, Llc Discovery and connection to a service controller
US9742780B2 (en) * 2015-02-06 2017-08-22 Microsoft Technology Licensing, Llc Audio based discovery and connection to a service controller
EP3275134B1 (en) 2015-03-24 2020-08-05 Nexmo Inc. Multi-channel communication system
US10476782B2 (en) 2015-08-03 2019-11-12 Nexmo, Inc. Systems and methods for adaptive routing
JP6690918B2 (en) * 2015-10-16 2020-04-28 日本特殊陶業株式会社 Heating member, electrostatic chuck, and ceramic heater
US10817593B1 (en) * 2015-12-29 2020-10-27 Wells Fargo Bank, N.A. User information gathering and distribution system
WO2017143304A1 (en) * 2016-02-19 2017-08-24 Tata Communications (America) Inc. System and method for authentication with missed calls
US10601814B2 (en) * 2017-07-26 2020-03-24 Secret Double Octopus Ltd. System and method for temporary password management
CN107682316B (en) * 2017-09-05 2020-02-14 平安科技(深圳)有限公司 Method for generating dynamic password sending strategy and method for sending dynamic password
GB2580635A (en) * 2019-01-18 2020-07-29 Stratec Se System for authentification

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19718103A1 (en) * 1997-04-29 1998-06-04 Kim Schmitz Data transmission system authorise method e.g. for telebanking
US6594255B1 (en) * 1999-02-09 2003-07-15 Tadiran Telecom Business Systems Ltd. PBX with short messaging service on a telephone display
AU2002210969A1 (en) * 2000-10-31 2002-05-15 Arkray, Inc. User authentication method in network
US6782081B2 (en) * 2002-05-21 2004-08-24 Bellsouth Intellectual Property Corporation Automated delivery of instant message to a telephone line device
CN1481109A (en) * 2002-09-03 2004-03-10 网泰金安信息技术有限公司 Identity authentication system with dynamic cipher based on wireless transmission platform
SI21436A (en) * 2003-02-04 2004-08-31 Renderspace - Pristop Interactive D.O.O. Identification system for accessing protected areas
GB2401745B (en) * 2003-05-15 2006-02-15 Desktop Guardian Ltd Method of controlling computer access
RU2354066C2 (en) * 2003-11-07 2009-04-27 Телеком Италия С.П.А. Method and system for authentication of data processing system user
WO2006038883A1 (en) * 2004-10-08 2006-04-13 Advanced Network Technology Laboratories Pte Ltd User provisioning with multi-factor authentication
CN100492966C (en) * 2004-11-26 2009-05-27 王小矿 Identity certifying system based on intelligent card and dynamic coding
GB2410113A (en) * 2004-11-29 2005-07-20 Morse Group Ltd A system and method of accessing banking services via a mobile telephone
US20060153346A1 (en) * 2005-01-11 2006-07-13 Metro Enterprises, Inc. On-line authentication registration system
SE532098C2 (en) * 2005-08-23 2009-10-20 Smarttrust Ab Authentication system and procedure
PL1833219T3 (en) * 2006-03-08 2015-01-30 Monitise Ltd Methods, apparatus and software for using a token to calculate time-limited password within cellular telephone
GB2455235A (en) * 2006-07-20 2009-06-10 Kamfu Wong Method and system for online payment and identity confirmation with setting authentication formula
CN101060556A (en) * 2006-12-30 2007-10-24 陈鹏 Telephone user ID authentication method
CN101145905A (en) * 2007-10-25 2008-03-19 中国工商银行股份有限公司 An authentication method, device and system for online payment of phone bank
US8082448B2 (en) * 2008-10-28 2011-12-20 Xerox Corporation System and method for user authentication using non-language words
ES2645289T3 (en) * 2008-12-03 2017-12-04 Entersekt International Limited Secure Transaction Authentication
US8635454B2 (en) * 2009-07-27 2014-01-21 Vonage Network Llc Authentication systems and methods using a packet telephony device
US8904489B2 (en) * 2009-09-08 2014-12-02 Thomas Varghese Client identification system using video conferencing technology
US8667280B2 (en) * 2010-02-24 2014-03-04 Ca, Inc. Method and apparatus for applying a partial password in a multi-factor authentication scheme
CN101808094A (en) * 2010-03-15 2010-08-18 张锋 Identity authentication system and method
US8495720B2 (en) * 2010-05-06 2013-07-23 Verizon Patent And Licensing Inc. Method and system for providing multifactor authentication
US9665868B2 (en) * 2010-05-10 2017-05-30 Ca, Inc. One-time use password systems and methods

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
None *
See also references of WO2012131268A1 *

Also Published As

Publication number Publication date
RU2013148028A (en) 2015-05-10
CN107423975A (en) 2017-12-01
US9602504B2 (en) 2017-03-21
FR2973618B1 (en) 2013-04-26
RU2570838C2 (en) 2015-12-10
CN103597806A (en) 2014-02-19
FR2973618A1 (en) 2012-10-05
WO2012131268A1 (en) 2012-10-04
US20140075525A1 (en) 2014-03-13

Similar Documents

Publication Publication Date Title
EP2692122A1 (en) Strong authentication by presentation of the number
JP5719871B2 (en) Method and apparatus for preventing phishing attacks
US8220030B2 (en) System and method for security in global computer transactions that enable reverse-authentication of a server by a client
EP2619941B1 (en) Method, server and system for authentication of a person
EP3391614B1 (en) Method for sending digital information
US20170279788A1 (en) Secure remote password retrieval
US8904489B2 (en) Client identification system using video conferencing technology
FR2964812A1 (en) AUTHENTICATION METHOD FOR ACCESSING A WEB SITE
US11978032B2 (en) System and method for performing peer to peer transfers
EP2509025A1 (en) Method for access to a protected resource of a trusted personal device
EP3732852B1 (en) Method for authentication by means of a mobile terminal using a key and a certificate stored on an external medium
EP2529330B1 (en) Method for providing a dynamic code via a telephone
FR2903544A1 (en) Prover i.e. user, authenticating method for e.g. secured cryptographic support, involves receiving challenge by prover, and calculating response depends on challenge and secret by selecting specific number of operations on encryption
KR20070076575A (en) Method for processing user authentication
EP4014466A1 (en) Method for transmitting digital information
WO2012022856A1 (en) Method of authenticating a user of the internet network
FR3007929A1 (en) METHOD FOR AUTHENTICATING A USER OF A MOBILE TERMINAL
KR20210006119A (en) Server and system for authentication processing, and control method thereof
KR20090006815A (en) Method for processing user authentication
KR20070077481A (en) Process server for relaying user authentication
KR20070077480A (en) Server for processing user authentication
KR20070077484A (en) Method for processing information
KR20070077482A (en) Server for relaying information of user authentication
KR20070076577A (en) Program recording medium

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20130919

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

DAX Request for extension of the european patent (deleted)
17Q First examination report despatched

Effective date: 20160613

RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: ONEY BANK

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: EXAMINATION IS IN PROGRESS

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20180424