FR2824208A1 - METHOD AND DEVICE FOR ASSIGNING AN AUTHENTICATION CODE - Google Patents
METHOD AND DEVICE FOR ASSIGNING AN AUTHENTICATION CODE Download PDFInfo
- Publication number
- FR2824208A1 FR2824208A1 FR0105636A FR0105636A FR2824208A1 FR 2824208 A1 FR2824208 A1 FR 2824208A1 FR 0105636 A FR0105636 A FR 0105636A FR 0105636 A FR0105636 A FR 0105636A FR 2824208 A1 FR2824208 A1 FR 2824208A1
- Authority
- FR
- France
- Prior art keywords
- user
- authority
- authentication
- elements
- code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/36—User authentication by graphic or iconic representation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/42—User authentication using separate channels for security data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07F—COIN-FREED OR LIKE APPARATUS
- G07F7/00—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
- G07F7/08—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
- G07F7/10—Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Business, Economics & Management (AREA)
- Signal Processing (AREA)
- Accounting & Taxation (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Telephonic Communication Services (AREA)
- Storage Device Security (AREA)
Abstract
Description
PROCEDE ET DlSPOSITIF D'ATTRIBUTION D'UN CODEPROCEDURE AND DEVICE FOR ASSIGNING A CODE
D'AUTHENTIFICATIONAUTHENTICATION
La présente invention concerne l'attribution à un utilisateur s d 'un code d' authentification servant à vérifier l' identité de celui-ci lors de l'accès à un système sécurisé tel qu'un ordinateur, un réseau de communication, des terminaux de paiement, etc. Cette invention concerne notamment la sécurisation des transactions commerciales acquittées au moyen de cartes bancaires et en o particulier les transactions électroniques effectuées sur le réseau Internet. De nombreux systèmes sécurisés, tels que par exemple les systèmes bancaires, nécessitent pour les faire fonctionner une étape s préalable d'authentification de l'utilisateur. Cette étape consiste généralement à fournir un mot de passe connu du seul utilisateur The present invention relates to the allocation to a user s of an authentication code used to verify the identity of the latter when accessing a secure system such as a computer, a communication network, communication terminals. payment, etc. This invention relates in particular to the security of commercial transactions paid by means of bank cards and in particular electronic transactions carried out on the Internet. Many secure systems, such as, for example, banking systems, require a user authentication step to operate them. This step generally consists in providing a password known only to the user
et de l'autorité d'authentification. and the authentication authority.
Ainsi, la sécurité des transactions effectuées au moyen de o cartes de paiement repose aujourd'hui sur un tel élément à savoir le contrôle de l'authenticité du titulaire de la carte à travers la signature électronique que constitue la saisie d'un mot de passe encore appelé PIN code (PIN étant l'acronyme anglais de Personnal Identification Number) formé d'une suite ordonnée de quatre 2s chiffres. L' attribution classique d'un mot de passe nécessaire à accéder à un système sécurisé est à la discrétion d'une autorité émettrice coopérant avec ledit système sécurisé. Cette autorité l génère pour chaque utilisateur un mot de passe et l' impo se à ce dernier. En pratique dans le cas des cartes de paiement, le mot de s passe ainsi généré est généralement transmis à son destinataire par et/ou à travers un réseau de communication de données du genre service postal. Le support de paiement et son mot de passe associé sont transmis séparément et de façon non synchrone afin Thus, the security of transactions carried out by means of payment cards today relies on such an element, namely the control of the authenticity of the card holder through the electronic signature constituted by entering a password. also called PIN code (PIN being the acronym for Personal Identification Number) formed of an ordered sequence of four 2s digits. The classic allocation of a password necessary to access a secure system is at the discretion of an issuing authority cooperating with said secure system. This authority generates a password for each user and imposes it on the latter. In practice in the case of payment cards, the password thus generated is generally transmitted to its recipient by and / or through a data communication network of the postal service type. The payment medium and its associated password are transmitted separately and non-synchronously in order to
d'améliorer la sécurité de la transmission. improve transmission security.
Une telle méthode pour délivrer de s code s d' authentification se trouve aujourd'hui inadaptée au développement des systèmes sécurisés nécessitant l'utilisation d'un code d'authentification, en particulier sur Internet, et au besoin de pouvoir disposer Such a method for issuing authentication codes is today unsuitable for the development of secure systems requiring the use of an authentication code, in particular on the Internet, and the need to have access to
is rapidement d'un code d'authentification pour pouvoir les utiliser. is quickly an authentication code to be able to use them.
Ainsi, pour sécuriser l'usage de moyen de paiement telles que des cartes de crédit pour régler des transactions sur Internet, il est envisagé de fournir aux utili sateurs de s mots de pas se valable s pour une transaction. Un tel service n'a de sens que s'il est possible o de fournir un mot de passe quasiment instantanément audit utilisateur. I1 est bien évidemment possible de substituer l'envoi par la po ste du mot de pas se à l' utilisateur par sa communication à s travers des réseaux de télécommunication tel que le téléphone ou l' Internet. Une telle communication du mot de pas se comporte toutefois le risque qu'un tiers puisse intercepter une telle communication et utilise ensuite frauduleusement une telle information. La parade consistant à sécuriser la communication en ayant recours à des algorithmes de cryptage du type à clé secrète ou à clé publique a pour inconvénient de complexifier l'équipement Thus, to secure the use of means of payment such as credit cards for settling transactions on the Internet, it is envisaged to provide users with valid passwords for a transaction. Such a service only makes sense if it is possible to provide a password almost instantly to said user. It is obviously possible to substitute the sending by the password of the password to the user by its communication through telecommunication networks such as the telephone or the Internet. Such communication of the password, however, carries the risk that a third party may intercept such communication and then fraudulently use such information. The parade of securing the communication by using encryption algorithms of the secret key or public key type has the disadvantage of making the equipment more complex.
requis pour obtenir de cette façon les mots de passe. required to obtain passwords this way.
La présente invention se propose de pallier ces inconvénients en proposant une méthode selon laquelle il est possible d'attribuer rapidement un code d'authentification à un utilisateur sans que ce dernier nécessite l'usage de moyens techniques complexes ni l'emploi d'algorithme de cryptage/décyptage et de plus sans o communication directe dudit code d' authentification entre l' autorité The present invention proposes to overcome these drawbacks by proposing a method according to which it is possible to quickly assign an authentication code to a user without the latter requiring the use of complex technical means or the use of algorithm. encryption / decryption and moreover without direct communication of said authentication code between the authority
d'authentification et l'utilisateur. authentication and user.
Elle porte sur un procédé d'attribution d'un code d'authentification à un utilisateur par une autorité s d'authentification. Selon une définition générale de l'invention, l'autorité d'authentification communique audit utilisateur une pluralité d'éléments susceptibles de forrner ledit code d'authentification, o chaque élément étant identifié par un code d'identification correspondant, ledit utilisateur choisi le ou les éléments formant ledit code d'authentification et ledit utilisateur communique à ladite autorité le(s)dit(s) code(s) d'identification correspondant(s) au(x)dit(s) It relates to a method for assigning an authentication code to a user by an authentication authority. According to a general definition of the invention, the authentication authority communicates to said user a plurality of elements capable of forming said authentication code, o each element being identified by a corresponding identification code, said user chooses the or the elements forming said authentication code and said user communicates to said authority (s) said identification code (s) corresponding to said said (s)
élément(s) choisi(s).selected item (s).
En pratique, la pluralité d'éléments susceptibles de former le code d'authentification est constituce d'éléments appartenant au groupe formé par des représentations de concepts, des représentations alphanumériques, des pictogrammes, des images, des combinaisons de représentations graphiques et In practice, the plurality of elements capable of forming the authentication code consists of elements belonging to the group formed by concept representations, alphanumeric representations, pictograms, images, combinations of graphic representations and
alphanumériques et analogues.alphanumeric and the like.
De préférence, les codes d'identification appartiennent au s groupe formé par des représentations alphanumériques et analogues. Selon un autre aspect de l'invention, l'autorité d'authentification communique à l'utilisateur les éléments o susceptibles de former le code d'authentification au cours d'une session de communication à travers un réseau de communication Preferably, the identification codes belong to the group formed by alphanumeric representations and the like. According to another aspect of the invention, the authentication authority communicates to the user the elements o capable of forming the authentication code during a communication session through a communication network
de donnces de type internet, téléphonique, ou analogue. internet, telephone, or the like.
Pour conférer un degré de sécurité supplémentaire, chaque i5 code d'identification est en outre couplé à un numéro de session relatif à la session au cours de laquelle l'autorité d'authentification communique à l'utilisateur les éléments susceptibles de former le code d'authentification tandis que l'utilisateur communique en outre à l'autorité le numéro de session associé audit code d'identification. Avantageusement, le numéro de session varie périodiquement To confer an additional degree of security, each i5 identification code is also coupled to a session number relating to the session during which the authentication authority communicates to the user the elements likely to form the code d authentication while the user also communicates to the authority the session number associated with said identification code. Advantageously, the session number varies periodically
à une cadence choisie.at a chosen rate.
2s Par exemple, le changement du numéro de session a lieu à chaque attribution d'un code d'authentification ou à l'intérieur 2s For example, the change of the session number takes place each time an authentication code is allocated or inside
d'une fenêtre temporelle choisie.of a selected time window.
r La présente invention a également pour objet un dispositif The present invention also relates to a device
pour la mise en _uvre du procédé selon l'invention. for implementing the method according to the invention.
D'autres caractéristiques et avantages de l' invention Other features and advantages of the invention
apparatront à la lumière de la description détaillée ci-après, et des will appear in the light of the detailed description below, and
de s sins dans le squels la figure unique repré sente schématiquement l'architecture d'un dispositif d'accès à un service transactionnel of sins in the squels the single figure schematically represents the architecture of a device for accessing a transactional service
sécurisé mettant en oeuvre le procédé selon l'invention. secure implementing the method according to the invention.
o En rétérence à la fgure unique, on a représenté l'architecture du dispositif selon l'invention articulée de préférence mais non limitativement sur des réseaux de communication disjoints, afin de o In reference to the single figure, the architecture of the device according to the invention is preferably shown, but not limited to disjoint communication networks, in order to
limiter le risque d'interception frauduleuse. limit the risk of fraudulent interception.
Par exemple, l'un des réseaux de communication est celui formé par le réseau Internet RI. Ce genre de réseau est utilisé ici entre un ordinateur 2 mis à la disposition de l'utilisateur 1 et un serveur d' attribution de mots de passe 4 géré par une autorité d'authentifcation 7. Un autre réscau de communication peut étre o formé par le réscau télophonique RT, de type fxe ou mobile. Ce type de réseau est utilisé ici entre un poste téléphonique 5 mis à la disposition de l'utilisateur 1 et un serveur vocal 6, géré par ladite For example, one of the communication networks is that formed by the Internet network RI. This type of network is used here between a computer 2 made available to the user 1 and a password allocation server 4 managed by an authentication authority 7. Another communication network can be formed by RT telephone network, fxed or mobile type. This type of network is used here between a telephone set 5 made available to user 1 and a voice server 6, managed by said
autorité d'authentification 7.authentication authority 7.
Le serveur d'attribution 4 peut étre différent du serveur vocal 6, le serveur d' attribution 4 est alors relié au serveur vocal 6 via une liaison sécurisée 9 à travers un réseau de communication sécurisé RS. Les fonctions du serveur d' attribution 4 et du serveur vocal 6 peuvent être réalisées par un seul et même dispositif, l'utilisateur communiquant alors avec le serveur unique d'attribution/autorisation de préférence à travers plusieurs réseaux de communications et plusieurs intermédiaires. Bien évidemment, l'invention peut s'appliquer à d'autres The allocation server 4 can be different from the voice server 6, the allocation server 4 is then connected to the voice server 6 via a secure link 9 through a secure communication network RS. The functions of the allocation server 4 and of the voice server 6 can be carried out by a single device, the user then communicating with the single allocation / authorization server preferably through several communication networks and several intermediaries. Obviously, the invention can be applied to other
réseaux de communication de données. data communication networks.
o Dans la figure unique, l'utilisateur 1 est installé devant un ordinateur 2, par exemple de type ordinateur personnel. L'ordinateur 2 est susceptible de se connocter au réseau Internet RI via une liaison 3 afin d'accéder à un site de type marchand par exemple. Ce site peut o In the single figure, the user 1 is installed in front of a computer 2, for example of the personal computer type. The computer 2 is capable of connecting to the Internet network RI via a link 3 in order to access a merchant-type site for example. This site can
être géré par un fournisseur de services ou de produits ou analogues. be managed by a service or product provider or the like.
De préférence, l'utilisateur 1 dispose, pour payer la transaction, d'une carte de paiement 8 (réelle ou virtuelle) obtenue auprès d'un Preferably, the user 1 has, to pay the transaction, a payment card 8 (real or virtual) obtained from a
organisme financier accrédité.accredited financial institution.
Selon la procédure de paiement retenue, l'utilisateur 1, doit fournir des informations d'identification tel qu'un mot de passe. Pour obtenir ce mot de passe, l'utilisateur 1 se connocte à l'autorité d ' authentification 7 par l' intermédiaire du serveur d ' attribution 4 et Depending on the payment procedure selected, user 1 must provide identification information such as a password. To obtain this password, the user 1 connects to the authentication authority 7 through the allocation server 4 and
du serveur vocal 6, selon le processus détaillé ci-dessous. of the voice server 6, according to the process detailed below.
2s Ce processus permet notamment d'attribuer un mot de passe de facon rapide, automatique, interactive et sécurisée. L'utilisateur va 2s This process notably makes it possible to assign a password quickly, automatically, interactively and securely. The user will
ainsi se faire attribuer le mot de passe MP (PW1, PW2, PW3, PW4). thus be assigned the password MP (PW1, PW2, PW3, PW4).
Lorsque l'utilisateur 1 se décide à acheter pour un montant donné, un produit ou un service offert à la vente sur le site marchand précité, il déclenche alors une commande en désignant de façon approprice les rélérences et le prix du produit qu'il souhaite acquérir When user 1 decides to buy for a given amount, a product or a service offered for sale on the aforementioned merchant site, he then triggers an order by appropriately designating the references and the price of the product he wishes to acquire
s ainsi que le mode de paiement choisi à savoir son numéro de carte 8. s as well as the method of payment chosen, namely its card number 8.
Le site marchand communique alors à travers la liaison sécurisée 9 du réseau de communication RS avec l'autorité d' authentification 7 qui coopère par ailleurs avec l' organisme financier o en charge de la carte 8 (l'autorité 7 et cet organisme fnancier peuvent d'ailleurs ne faire qu'un) afin de transmettre des données relatives à la transaction, par exemple les caractéristiques de la commande, de telle sorte que le poste d'autorisation (autorité d'authentification 7) The merchant site then communicates through the secure link 9 of the RS communication network with the authentication authority 7 which also cooperates with the financial organization o in charge of the card 8 (the authority 7 and this fnancial organization can besides doing only one) in order to transmit data relating to the transaction, for example the characteristics of the order, so that the authorization station (authentication authority 7)
contrôle la transaction, et plus particulièrement le paiement. controls the transaction, and more specifically the payment.
L'autorité d'authentification 7 peut adresser à l'utilisateur une facture électronique portant les références du produit commandé et du site marchand 4. En réponse, l'utilisateur doit donner des données confidentielles pour valider la transaction, notamment un identifiant o et le mot de passe MP correspondant de la carte de paiement de l'utilisateur. Selon l'invention, l'attribution d'un code d'authentification The authentication authority 7 can send the user an electronic invoice bearing the references of the ordered product and the merchant site 4. In response, the user must give confidential data to validate the transaction, in particular an identifier o and the corresponding PM password of the user's payment card. According to the invention, the allocation of an authentication code
telle qu'un mot de passe à un utilisateur se passe en deux temps. such as a password to a user happens in two steps.
s Dans un premier temps, l'utilisateur choisit lui-méme son mot de passe et dans un second temps, l'utilisateur communique ce mot de passe sous forme codée à l' autorité d' authentification pour enregistrement. d La première étape du procédé, à savoir le choix fait par l'utilisateur de son mot de passe s'effectue par l'intermédiaire d'un premier réseau de communication, ce réseau étant quelconque et en particulier, ce réseau pouvant être constitué par le réseau Internet s Firstly, the user chooses his own password and secondly, the user communicates this password in coded form to the authentication authority for registration. d The first step of the method, namely the choice made by the user of his password is carried out via a first communication network, this network being arbitrary and in particular, this network being able to be constituted by the Internet
s comme illustré dans le présent exemple de réalisation de l'invention. s as illustrated in the present exemplary embodiment of the invention.
En effet, le choix du mot de passe fait par l'utilisateur ne s'effectue pas ex nihilo mais à partir d'informations préalablement communiquces par l'autorité d'authentification. Ces informations o consistent essentiellement dans la présentation des éléments, référencés PWi, susceptible s d' être choisis comme mot de passe par l'utilisateur ainsi que dans des codes d'identification, référencés ICi, Indeed, the choice of password made by the user is not made ex nihilo but from information previously communicated by the authentication authority. This information consists mainly in the presentation of the elements, referenced PWi, likely to be chosen as password by the user as well as in identification codes, referenced ICi,
de ces éléments PWi.of these PWi elements.
Selon l'exemple de réalisation de l'invention illustré, pour choisir son mot de passe, l'utilisateur se connocte donc par l'intermédiaire du réseau Internet à un serveur approprié géré par l'autorité d'authentification. En se connectant à ce serveur d'authentification, l'utilisateur va pourvoir accéder à une ou o plusieurs pages qui vont s'afficher sur l'écran de son ordinateur et sur lesquelles l'autorité d'authentification a présenté plusieurs éléments PWi susceptibles d'être choisis par l'utilisateur pour According to the embodiment of the invention illustrated, to choose his password, the user therefore connects via the Internet to an appropriate server managed by the authentication authority. By connecting to this authentication server, the user will be able to access one or more pages that will be displayed on the screen of his computer and on which the authentication authority has presented several PWi elements likely to '' be chosen by the user for
former son mot de passe.form your password.
Conformément à l'invention, le mot de passe est choisi librement par l'utilisateur à partir des informations fournies par l'autorité d'authentifcation. I1 est toutefois à noter que l'autorité d'authentification peut introduire certaines règles aptes à diversifier le choix des mots de passe par exemple en imposant qu'un mot de In accordance with the invention, the password is freely chosen by the user from information provided by the authentication authority. It should however be noted that the authentication authority can introduce certain rules capable of diversifying the choice of passwords, for example by requiring that a password
passe soit constitué par un nombre prédéterminé d'éléments. pass is made up of a predetermined number of elements.
Les éléments présentés sur l'écran d'ordinateur de s l'utilisateur et susceptibles d'être choisis pour former un mot de passe peuvent être quelconques, c'est-à-dire des chiffres, des nombres, des lettres, des mots, des images, des pictogrammes ou The elements presented on the user's computer screen and which can be chosen to form a password can be any, that is to say numbers, numbers, letters, words, pictures, pictograms or
bien encore des concepts.many more concepts.
o Un concept est la représentation générale abstraite d'un objet ou d'un ensemble d'un objet qui se défmit selon sa compréhension (l' alphabet est formé de l' ensemble des lettres) et selon son o A concept is the general abstract representation of an object or a set of an object which is defined according to its understanding (the alphabet is formed from the set of letters) and according to its
extension (l'alphabet se compose des lettres a, b, c, d,..., z). extension (the alphabet consists of the letters a, b, c, d, ..., z).
1S Chaque terme utilisé est de préférence un mot ayant un sens parfaitement délimité, n'admettant pas d'équivoque (par exemple: 1S Each term used is preferably a word with a perfectly defined meaning, which admits no ambiguity (for example:
animal, être humain, vélo, soleil, lune, etc.). animal, human being, bicycle, sun, moon, etc.).
A chaque terme est associé des représentations facilement o identifiables que se soit sous la forme de dessins, photos ou pictogrammes ou bien encore sous la forme de phrases à l'intérieur Easily identifiable representations are associated with each term, whether in the form of drawings, photos or pictograms or even in the form of sentences inside
desquelles se trouve le mot.of which the word is found.
L'attribution de concepts comme mot de passe présente 2s l'immense avantage d'être particulièrement bien adaptée à l'intelligence humaine. I1 est en effet très facile à un utilisateur de retenir une combinaison de concepts (par exemple "femme" et "chat") plutôt qu'une combinaison arbitraire de lettre et de chiffres Assigning concepts like passwords has the immense advantage of being particularly well suited to human intelligence. It is indeed very easy for a user to remember a combination of concepts (for example "woman" and "cat") rather than an arbitrary combination of letter and numbers
qui est très difficile à mémorisée (par exemple "AZ23EF3E1"). which is very difficult to memorize (for example "AZ23EF3E1").
Inversement, retrouver à partir des représentations (images, dessins, textes) choisies par l'utilisateur son mot de passe et donc la combinaison de concepts associée est une tâche extrêmement s difficile pour les éventuels pirates pour lesquels les outils informatiques existants sont d'une aide limitée. En effet, la reconnaissance automatique des formes est encore balbutiante tout comme l'est l'analyse conceptuelle des mots d'une phrase. De plus la moindre photographie ou image renferme un nombre élevé de o concepts. Selon l'invention, à chaque élément PWi représenté sur l' écran de l'utilisateur correspond un code d' identification ICi qui sert à identifier ledit élément. Ce code ICi d'identification est s déterminé de façon approprice par l'autorité d'authentification de telle façon qu'il ne soit pas possible de déduire l'élément PWi Conversely, finding from the representations (images, drawings, texts) chosen by the user his password and therefore the associated combination of concepts is an extremely difficult task for potential hackers for whom the existing computer tools are of limited help. Indeed, automatic pattern recognition is still in its infancy, as is the conceptual analysis of words in a sentence. In addition, the slightest photograph or image contains a high number of concepts. According to the invention, each element PWi represented on the screen of the user corresponds to an identification code ICi which is used to identify said element. This identification code ICi is s appropriately determined by the authentication authority so that it is not possible to deduce the element PWi
correspondant à un code donné ICi. corresponding to a code given HERE.
Dans le cas d'une sélection d'un ensemble de concepts, o l'utilisateur 1 choisit des concepts liés à des images apparaissant sur son écran et provenant par exemple d'une base de données 1O. En pratique, l'utilisateur 1 navigue dans une arborescence d'images, o In the case of a selection of a set of concepts, o the user 1 chooses concepts related to images appearing on his screen and coming for example from a database 10. In practice, user 1 navigates in a tree of images, o
pour chaque image, on associe une liste de concepts qu'elle contient. for each image, we associate a list of concepts it contains.
s Par exemple, dans le cas d'une première pluralité d'éléments conceptuels représentés par des images, chaque représentation graphique de chaque concept PWi est lice à un numéro ICi qui l'identifie. L'utilisateur 1 prend alors connaissance de tous les concepts PWi qui lui sont présentés et choisis parmi ceux-ci le ou les s For example, in the case of a first plurality of conceptual elements represented by images, each graphic representation of each concept PWi is linked to a number ICi which identifies it. User 1 then becomes aware of all the PWi concepts presented to him and chosen from among them the
concepts qu'il retient comme étant son secret ou mot de passe MP. concepts he retains as his secret or MP password.
L'utilisateur 1 note précieusement la liste de ces concepts PWj User 1 carefully notes the list of these concepts PWj
formant son mot de passe et des codes d'identification ICj associés. forming his password and associated ICj identification codes.
s Ainsi, l'utilisateur ayant choisi les éléments PW1, PW2, PW3 et PW4 pour former son mot de passe, note les codes correspondants IC1, s Thus, the user having chosen the elements PW1, PW2, PW3 and PW4 to form his password, notes the corresponding codes IC1,
IC2, IC3 et IC4.IC2, IC3 and IC4.
L'utilisateur n'a plus alors qu'à faire enregistrer son mot de o passe en appelant l' autorité d' authentification via de préférence un second réseau de communication distinct du premier, tel que par exemple le réseau téléphonique RT, en s'identifiant et en communiquant le mot de passe qu'il a choisi en identifiant les éléments choisis PW 1, PW2, PW3 et PW4 par leurs codes The user then only has to register his password by calling the authentication authority preferably via a second communication network distinct from the first, such as for example the RT telephone network, identifying and communicating the password he chose by identifying the elements chosen PW 1, PW2, PW3 and PW4 by their codes
S correspondants IC1, IC2, IC3 et IC4. S corresponding IC1, IC2, IC3 and IC4.
Ainsi pour qu'un tiers puisse connaître le mot de l'utilisateur (formé en l'espèce de la combinaison PW1, PW2, PW3, et PW4), il faut qu'il soit capable de capter la communication de l'utilisateur o vers l' autorité d' authentification et qu'il sache à quoi correspondent les codes IC1, IC2, IC3 et IC4, c'est-à-dire qu'il est également eu accès à la session de connexion de l'utilisateur au serveur d'autorisation. s Pour augmenter la sécurité d'un tel système, le code d' identification de s éléments PWi e st modifée régulièrement par le serveur d'autorisation de sorte qu'entre deux connexions ou sessions successives, ou en variante à l'intérieur d'une même session, un méme élément PWi peut recevoir des codes distincts Thus for a third party to be able to know the word of the user (formed in the present case of the combination PW1, PW2, PW3, and PW4), it must be capable of picking up communication from the user o to the authentication authority and that it knows what the codes IC1, IC2, IC3 and IC4 correspond to, that is to say that the user's connection session to the server is also accessed 'authorization. To increase the security of such a system, the identification code of the PWi elements is regularly modified by the authorization server so that between two successive connections or sessions, or alternatively within the same session, the same PWi element can receive separate codes
ICi,j et ICi,k.HERE, j and HERE, k.
L'utilisateur est donc invité à préciser lors de l'enregistrement s de son mot de passe les références NS de la session, référence NS formée par un code par exemple alphanumérique (par exemple du type NNNN constitué par un nombre à quatre digits), session lors de laquelle il a relevé la ou les références sélectionnées de l'élément ou The user is therefore invited to specify when registering his password the NS references for the session, NS reference formed by a code, for example alphanumeric (for example of the NNNN type consisting of a four-digit number), session during which he noted the selected item (s) or
des éléments formant sont mot de passe. forming elements are password.
Ainsi, l'utilisateur qui a choisi les éléments PW1 à PW4 lors de la session rétérencée 2135 devra communiquer les informations suivantes à l'autorité d'authentification: 2135; IC1, IC2, IC3 et IC4. Ainsi, les code s d' identification ICi (ici la liste des numéro s de concepts) se trouvent étre diversifiés par les numéros de session NSi Thus, the user who has chosen elements PW1 to PW4 during the referenced session 2135 will have to communicate the following information to the authentication authority: 2135; IC1, IC2, IC3 and IC4. Thus, the identification codes ICi (here the list of concept numbers) are found to be diversified by the session numbers NSi
associés respectivement à chaque numéro de concept. associated respectively with each concept number.
Par convention, le couple formé par les codes d'identification ICj (par exemple IC 1 à IC4) et le numéro de session associé NSj, constitue un chiffrage MPC du mot de passe MP, dans lequel le numéro de session NSj constitue la clé de diversification ou de By convention, the pair formed by the identification codes ICj (for example IC 1 to IC4) and the associated session number NSj, constitutes an MPC encryption of the password MP, in which the session number NSj constitutes the key to diversification or
chiffrement des codes d' identification du mot de passe MP. encryption of MP password identification codes.
2s En variante, si les codes évoluent au cours d'une méme session, l'utilisateur sera donc invité à préciser lors de l'enregistrement de son mot de passe, non plus la référence de la session, mais les références des pages écran, référence formée par un code par exemple alphanumérique (par exemple du type AAANNNN avec A lettre et N chiffre), pages écrans sur lesquelles il a relevé la ou les références sélectionnées. Bien évidemment à chaque modification des codes correspond une modification du code de 2s As a variant, if the codes evolve during the same session, the user will therefore be invited to specify when registering his password, no longer the session reference, but the references of the screen pages, reference formed by a code, for example alphanumeric (for example of the type AAANNNN with A letter and N number), screen pages on which he noted the selected reference or references. Obviously to each modification of the codes corresponds a modification of the code of
s référence de la page.s page reference.
Ainsi, l'utilisateur qui a choisi les éléments PW1 et PW2 sur la page écran référencée XXX2135, puis l'élément PW3 sur la page AZE8213 et enfin l'élément PW4 sur la page YQQ2319 devra o communiquer les informations suivantes à l'autorité d'authentification: IC 1,XXX2 135; IC2,XXX2 135; IC3,AZE82 13 et Thus, the user who has chosen the elements PW1 and PW2 on the screen page referenced XXX2135, then the element PW3 on the page AZE8213 and finally the element PW4 on the page YQQ2319 must o communicate the following information to the authority d 'authentication: IC 1, XXX2 135; IC2, XXX2 135; IC3, AZE82 13 and
IC4,YQQ23 1 9.IC4, YQQ23 1 9.
Le tiers souhaitant esplonner le mot de passe choisi par i5 l'utilisateur doit donc non seulement surveiller la ligne téléphonique de ce dernier mais encore enregistrer l' ensemble des différentes pages écrans lues par l'utilisateur ou affichée par l'autorité d'authentification. Il s'agit là d'un travail qui suppose des capacités The third party wishing to use the password chosen by i5 the user must therefore not only monitor the telephone line of the latter but also record all of the different screen pages read by the user or displayed by the authentication authority. This is a job that requires skills
de surveillance hors de portée des traditionnels fraudeurs. surveillance out of reach of traditional fraudsters.
Pour l' autorité d' authentification, l' attribution des codes peut se faire de manière automatique à partir d'un algorithme de cryptage, ce qui permet ainsi de gérer de façon simple le décodage de s mots de passe à partir de s information s communiquée s par le s s utilisateurs. Ainsi, il est possible de prévoir un premier logiciel SF1 qui génère le code ICi de l'élément PWi à partir de la référence de la page AAANNNN sur laquelle va s'afficher ce code ICi en regard de cet élément, tandis qu'un deuxième logiciel génère les références For the authentication authority, the codes can be assigned automatically using an encryption algorithm, which makes it possible to easily manage the decoding of passwords from information s communicated by the users. Thus, it is possible to provide a first software SF1 which generates the code ICi of the element PWi from the reference of the page AAANNNN on which this code ICi will be displayed next to this element, while a second software generates the references
des pages, par exemple à partir de la date et de l'heure courante. pages, for example from the current date and time.
En variante l'affectation des codes ICi aux éléments PWi peut s'effectuer par l'intermédiaire de tables appropriées ou de cartographies indexées en fonction des références des pages s d'affichage. Pour communiquer avec l'autorité d'authentification, l'utilisateur peut donc utiliser un réscau de communication de type télophonique RT. Dans ce cas, l'utilisateur 1 se sert d'un poste o télophonique 5 de type fixe ou mobile, afin d'entrer en connexion avec un serveur téléphonique 6, par exemple vocal, géré par l'autorité d'authentification. Une fois la communication établie entre l'utilisateur 1 et le s serveur vocal 6, ledit serveur 6 demande à l'utilisateur 1 d'entrer les As a variant, the assignment of the codes ICi to the elements PWi can be carried out by means of appropriate tables or of indexed maps according to the references of the display pages. To communicate with the authentication authority, the user can therefore use a RT telephone type communication network. In this case, the user 1 uses a telephone or telephone set 5 of the fixed or mobile type, in order to enter into connection with a telephone server 6, for example voice, managed by the authentication authority. Once the communication has been established between user 1 and the voice server 6, said server 6 requests user 1 to enter the
codes ICj des éléments PWj choisis et la référence de la session NSj. codes ICj of the elements PWj chosen and the reference of the session NSj.
La saisie de ces informations s'opère via le clavier de l'appareil télophonique. Par exemple, les numéros des codes ICj sont séparés This information is entered via the keyboard of the telephone set. For example, ICj code numbers are separated
par un indicateur, tel que la touche * du poste téléphonique 5. by an indicator, such as the * key on the telephone set 5.
Lorsque la totalité des informations fournies par l'utilisateur sont introduites, l'utilisateur 1 presse une touche, par exemple la When all the information supplied by the user is entered, the user 1 presses a key, for example the
touche # de l'équipement de communication 5. communication equipment key # 5.
En pratique, l'autorité d'authentification, via le serveur vocal 6, demande à l'utilisateur d'entrer des données d'identification confidentielles ID qui permettent d 'identifier et d' authentifier l'utilisateur. Ces donnces d'identification confidentielles ID peuvent être par exemple un numéro de compte bancaire, un numéro de code banque, ainsi que d'autres données telles le montant d'une ligne du relevé In practice, the authentication authority, via the voice server 6, requests the user to enter confidential identification data ID which makes it possible to identify and authenticate the user. These confidential identification data ID can be for example a bank account number, a bank code number, as well as other data such as the amount of a line of the statement
bancaire à une date choisie.on a chosen date.
s Bien évidemment de son côté, l'autorité d'authentification détient déjà les données d'identification confidentielles ID de s Of course, the authentication authority already holds the confidential identification data ID of
l'utilisateur 1.user 1.
o Le fait d'utiliser des réscaux de communication (de préférence distincts et disjoints) pour échanger des informations entre l'autorité d'authentification et l'utilisateur, dont les flux sont suffisamment intenses et banalisés, rend très difficile une interception frauduleuse, o The fact of using communication networks (preferably separate and disjoint) to exchange information between the authentication authority and the user, whose flows are sufficiently intense and trivialized, makes fraudulent interception very difficult,
résultant d'un espionnage systématique. resulting from systematic espionage.
Par ailleurs, lors de l'attribution du mot de passe, l'utilisateur navigue dans une arborescence de pages, qui ne renseigne en aucune manière sur les choix de l'utilisateur puisque ce dernier mémorise ses Furthermore, when assigning the password, the user navigates in a tree structure of pages, which in no way informs about the choices of the user since the latter memorizes his
choix dans son cerveau ou bien sur un bout de papier. choice in his brain or on a piece of paper.
De plus, une interception des éléments PWi au niveau de l'ordinateur de l'utilisateur n'est pas possible car l' ensemble des éléments qui sont visualisés lors de l'attribution du mot de passe, sont susceptibles d'être éligibles, sans distinction pour l'intercepteur 2s frauduleux. De plus, rien ne permet de garantir à l'entité frauduleuse qui a enregistré la session que cette session sera utilisée. De même, rien ne renseigne l'entité frauduleuse de l'instant o sera utilisée ladite session. It en résulte que l'entité frauduleuse dolt enregistrer l'ensemble des sessions et des donnces pour en déduire les donnces confidentielles, ce qui est difficilement envisageable avec les moyens actuels. In addition, interception of PWi elements at the level of the user's computer is not possible since all the elements which are displayed during the allocation of the password are likely to be eligible, without distinction for the fraudulent 2s interceptor. In addition, there is nothing to guarantee to the fraudulent entity which recorded the session that this session will be used. Likewise, nothing informs the fraudulent entity of the instant when said session will be used. As a result, the fraudulent entity must record all of the sessions and data in order to deduce confidential data, which is difficult to envisage with current means.
Claims (6)
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR0105636A FR2824208A1 (en) | 2001-04-26 | 2001-04-26 | METHOD AND DEVICE FOR ASSIGNING AN AUTHENTICATION CODE |
PCT/IB2002/001303 WO2002089079A1 (en) | 2001-04-26 | 2002-04-22 | Method and device for assigning an authentication code |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR0105636A FR2824208A1 (en) | 2001-04-26 | 2001-04-26 | METHOD AND DEVICE FOR ASSIGNING AN AUTHENTICATION CODE |
Publications (1)
Publication Number | Publication Date |
---|---|
FR2824208A1 true FR2824208A1 (en) | 2002-10-31 |
Family
ID=8862729
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
FR0105636A Pending FR2824208A1 (en) | 2001-04-26 | 2001-04-26 | METHOD AND DEVICE FOR ASSIGNING AN AUTHENTICATION CODE |
Country Status (2)
Country | Link |
---|---|
FR (1) | FR2824208A1 (en) |
WO (1) | WO2002089079A1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20210084022A1 (en) * | 2018-06-05 | 2021-03-18 | The Toronto-Dominion Bank | Methods and systems for controlling access to a protected resource |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2011505034A (en) * | 2007-11-27 | 2011-02-17 | ソリナム ソルション カンパニー,リミテッド | Disposable virtual secret information authentication system and authentication method |
US9003691B2 (en) | 2011-08-03 | 2015-04-14 | Rany ARLICHSON | Electronic mouse trap module |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2459514A1 (en) * | 1979-06-19 | 1981-01-09 | Gao Ges Automation Org | Personal code word reading procedure - displaying symbols to user who selects those corresp. to own identity code word after insertion of card |
WO1991006904A1 (en) * | 1989-11-07 | 1991-05-16 | Lefevre Jean Pierre | Method for verifying the identity of an individual and verifying device for implementing the method |
WO1991009383A1 (en) * | 1989-12-08 | 1991-06-27 | Watkins Christopher John Corni | A method of automatic verification of personal identity |
US5056141A (en) * | 1986-06-18 | 1991-10-08 | Dyke David W | Method and apparatus for the identification of personnel |
DE19620346A1 (en) * | 1996-05-21 | 1997-11-27 | Bosch Gmbh Robert | Graphical password log-in procedure for user of data terminal in computer system |
GB2314436A (en) * | 1996-06-17 | 1997-12-24 | Mitel Corp | Customer authentication apparatus |
US6012144A (en) * | 1996-10-08 | 2000-01-04 | Pickett; Thomas E. | Transaction security method and apparatus |
-
2001
- 2001-04-26 FR FR0105636A patent/FR2824208A1/en active Pending
-
2002
- 2002-04-22 WO PCT/IB2002/001303 patent/WO2002089079A1/en not_active Application Discontinuation
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2459514A1 (en) * | 1979-06-19 | 1981-01-09 | Gao Ges Automation Org | Personal code word reading procedure - displaying symbols to user who selects those corresp. to own identity code word after insertion of card |
US5056141A (en) * | 1986-06-18 | 1991-10-08 | Dyke David W | Method and apparatus for the identification of personnel |
WO1991006904A1 (en) * | 1989-11-07 | 1991-05-16 | Lefevre Jean Pierre | Method for verifying the identity of an individual and verifying device for implementing the method |
WO1991009383A1 (en) * | 1989-12-08 | 1991-06-27 | Watkins Christopher John Corni | A method of automatic verification of personal identity |
DE19620346A1 (en) * | 1996-05-21 | 1997-11-27 | Bosch Gmbh Robert | Graphical password log-in procedure for user of data terminal in computer system |
GB2314436A (en) * | 1996-06-17 | 1997-12-24 | Mitel Corp | Customer authentication apparatus |
US6012144A (en) * | 1996-10-08 | 2000-01-04 | Pickett; Thomas E. | Transaction security method and apparatus |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20210084022A1 (en) * | 2018-06-05 | 2021-03-18 | The Toronto-Dominion Bank | Methods and systems for controlling access to a protected resource |
US11582219B2 (en) * | 2018-06-05 | 2023-02-14 | The Toronto-Dominion Bank | Methods and systems for controlling access to a protected resource |
Also Published As
Publication number | Publication date |
---|---|
WO2002089079A1 (en) | 2002-11-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8612757B2 (en) | Method and apparatus for securely providing identification information using translucent identification member | |
WO2005024645A1 (en) | Information processing server and information processing method | |
EP2577629A1 (en) | Method and system for secure teletransmission | |
EP2619941A1 (en) | Method, server and system for authentication of a person | |
EP1209635A1 (en) | Secured remote control device | |
EP2591463A1 (en) | Secure system and method for the identification and recording of an identity | |
EP1299838A1 (en) | System and method for managing micropayment transactions, corresponding client terminal and trader equipment | |
US20050140497A1 (en) | Method and apparatus for securely providing identification information using translucent identification member with filter | |
EP1164529A1 (en) | System and method for issuing electronic coupons | |
FR2819323A1 (en) | METHOD FOR ACCESSING A SECURE SYSTEM | |
EP1190357A1 (en) | Method and terminal managing web tickets | |
FR2824208A1 (en) | METHOD AND DEVICE FOR ASSIGNING AN AUTHENTICATION CODE | |
FR2750273A1 (en) | METHOD FOR RECHARGING VIRTUAL PREPAID CARDS | |
EP2800072A2 (en) | Method for issuing SIM mobile telephone cards with prepaid or postpaid subscription by an automaton | |
FR2889784A1 (en) | Electronic recharge card`s distribution and use automation method for prepaid mobile telephone subscriber, involves sending short messaging system message with card data from mobile equipment to telephone, and automating recharge request | |
FR2514592A1 (en) | METHOD AND DEVICE FOR CONSULTING DATA FILES AND / OR BANKING TRANSACTIONS, PRESERVED FROM FRAUD THANKS TO A COMMUNICATION PROCESS BY RANDOM VARIABLE | |
FR2812423A1 (en) | Card payment for an Internet transaction, uses code table prepared when card is manufactured with server interrogation of user who must return correct entries from the code table | |
WO2013000966A1 (en) | Method of dematerialized transaction | |
EP2407920A1 (en) | Server, terminal and secured transaction method | |
EP4099249A1 (en) | Method and device for transmitting an identifier of a user during an electronic payment made by the user | |
FR2806185A1 (en) | Secure transaction procedure between a purchaser and a vendor, uses certification body providing transaction number and validation key to transaction parties and to financial body | |
BE1014305A7 (en) | Universal pre-paid payment card for making payment over telecommunication networks, uses pre-paid card with scratch-off strip covering unique code that is sent by user to make purchase | |
WO2019221619A1 (en) | Personalized security and/or authenticity verification system for communications in electronic form | |
Varshney et al. | UID based Mobile Money Implementation in Rural Areas of India | |
WO2018229089A1 (en) | Method for managing loyalty identifiers, method for processing loyalty data, server, transaction device and corresponding programs |