FR2940727A1 - Strong authentication method for user terminal of Internet, involves transmitting message from web server to user terminal, where message contains hypertext link permitting registration of terminal in account table - Google Patents
Strong authentication method for user terminal of Internet, involves transmitting message from web server to user terminal, where message contains hypertext link permitting registration of terminal in account table Download PDFInfo
- Publication number
- FR2940727A1 FR2940727A1 FR0904856A FR0904856A FR2940727A1 FR 2940727 A1 FR2940727 A1 FR 2940727A1 FR 0904856 A FR0904856 A FR 0904856A FR 0904856 A FR0904856 A FR 0904856A FR 2940727 A1 FR2940727 A1 FR 2940727A1
- Authority
- FR
- France
- Prior art keywords
- user
- ticket
- user terminal
- strong authentication
- registration
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
-1- Système d'Authentification Simplifié (SAS) Référence : MFL - BT R1 / 08 06682 Généralités -1- Simplified Authentication System (SAS) Reference: MFL - BT R1 / 08 06682 General
L'objectif du S.A.S. est d'accélérer l'authentification forte d'un ou plusieurs utilisateurs de l'Internet. Ces données permettent à un utilisateur d'être authentifié sur un serveur du réseau Internet. Le S.A.S. est particulièrement destiné à sécuriser les accès aux sites internet disposant d'une banque de données de leurs utilisateurs ou abonnés. Il leur offre également la possibilité de communiquer de manière anonyme. The goal of the S.A.S. is to accelerate the strong authentication of one or more users of the Internet. This data allows a user to be authenticated on a server on the Internet. The S.A.S. is particularly intended to secure access to websites with a database of their users or subscribers. It also gives them the opportunity to communicate anonymously.
L'authentification forte s'appuie sur trois éléments : ce que l'utilisateur détient (un jeton ou ticket) 15 et où l'utilisateur se situe (adresse IP) et quand l'utilisateur a le droit de se connecter (période de validité du ticket). Strong authentication relies on three elements: what the user holds (a token or ticket) 15 and where the user is located (IP address) and when the user has the right to connect (period of validity ticket).
L'invention concerne principalement un procédé destiné à authentifier rapidement des utilisateurs du réseau Internet sur une machine offrant un service basé sur le protocole HTTP1 ou HTTPS, 20 sans contraindre l'utilisateur à retenir un mot de passe. The invention primarily relates to a method for rapidly authenticating users of the Internet on a machine offering a service based on the HTTP1 or HTTPS protocol, without forcing the user to retain a password.
Dans un premier temps, lors de sa première demande d'enregistrement, l'utilisateur fournit au serveur son adresse de courrier électronique. Il est alors enregistré dans la base de comptes temporaire et reçoit un ticket contenant un lien hypertexte lui permettant de s'enregistrer 25 définitivement dans la base de comptes. Ce ticket contient également un lien permettant à l'utilisateur de se connecter ultérieurement, une fois enregistré. At first, during its first registration request, the user provides the server with his e-mail address. It is then registered in the temporary account base and receives a ticket containing a hypertext link allowing it to register permanently in the account base. This ticket also contains a link allowing the user to log in later, once registered.
Dans un second temps, il clique sur le lien d'inscription et le serveur exécute alors la requête d'enregistrement définitive. Par la suite, l'utilisateur peut continuer à utiliser le ticket de connexion pour se connecter, jusqu'à expiration de la validité de celui-ci. Au delà de cette période, il devra à nouveau fournir son 'Hyper Text Transfer Protocol 30 2940727 -2- adresse de courriel afin de recevoir un nouveau ticket de connexion. Ces tickets envoient alors une simple requête de contrôle de l'appartenance de l'utilisateur à la base de comptes. In a second step, he clicks on the registration link and the server then executes the final registration request. Subsequently, the user can continue to use the connection ticket to connect, until expiry of the validity of it. Beyond this period, he will have to provide his Hyper Text Transfer Protocol 2940727 -2- email address again in order to receive a new connection ticket. These tickets then send a simple request to check the membership of the user to the account base.
Etat de l'Art 5 Au jour d'aujourd'hui, deux méthodes permettent à un utilisateur d'être identifié sur un serveur : la première fait appel à un identifiant associé à un mot de passe, la seconde, moins répandue, fait appel aux certificats numériques. La première est courante, bien comprise par le plus grand nombre, mais très peu fiable. La seconde est au contraire très sûre, mais pas évidente à 10 appréhender par le grand public. La gestion des certificats numériques et de leur révocation, risque d'être boudée par la plupart des utilisateurs grand public. State of the art 5 At the present day, two methods allow a user to be identified on a server: the first uses an identifier associated with a password, the second, less common, uses digital certificates. The first is common, well understood by the greatest number, but very unreliable. The second is on the contrary very safe, but not obvious to the general public. The management of digital certificates and their revocation, may be shunned by most consumer users.
Pour la méthode la plus répandue, que se passe-t-il lors d'une séquence complète d'authentification ? 1. Création d'un compte à partir de la saisie d'un nom d'utilisateur (identifiant ou login ) et d'un mot de passe, dans le meilleur des cas en s'appuyant sur le protocole TLS2, mais c'est encore très rare. For the most common method, what happens during a complete authentication sequence? 1. Creation of an account from the entry of a username (login or login) and a password, in the best case based on the TLS2 protocol, but it is still very rare.
2. Confirmation a- dans le meilleur des cas : envoi d'un courriel de confirmation à l'utilisateur, qui clique sur un lien, et provoque son inscription définitive. b- sinon, il existe encore quelques sites qui se contentent de ces informations (identifiant + mot de passe) pour inscrire l'utilisateur directement dans la base de comptes actifs, mais cela tend à disparaître. 3. l'utilisateur se logue régulièrement en faisant (le plus souvent) transiter ses identifiants en clair sur l'Internet. Quiconque réussit à deviner ses identifiants peut alors se loguer à sa place, en usurpant son identité, quelque soit sa situation géographique, et son point d'accès au réseau. 4. En cas de perte de mot de passe, le serveur renvoie, en clair, un nouveau mot de passe, ou, un lien permettant d'aller le modifier. L'interception de ce courriel, par écoute sur le réseau, ou attaque du compte POP3, peut alors provoquer l'usurpation du compte. 'Transport Layer Security ' Post Office Protocol 2940727 -3 Le S.A.S. s'appuie sur la boite aux lettre électronique BAL4 de l'internaute afin de lui faire parvenir tout ce dont il a besoin pour s'inscrire et ensuite ouvrir une session sur le serveur. Nous parlerons alors de "ticket" de connexion. Il s'agit d'un ticket au sens virtuel, c'est à dire juste d'un 5 simple enregistrement dans une table, couplé à un lien hypertexte contenu dans un courriel. 2. Confirmation a- in the best case: sending a confirmation email to the user, who clicks on a link, and causes his final registration. b- otherwise, there are still some sites that are content with this information (login + password) to register the user directly in the database of active accounts, but this tends to disappear. 3. The user logs regularly by (most often) passing his identifiers in clear on the Internet. Anyone who manages to guess his credentials can then log in his place, usurping his identity, regardless of its geographical location, and its access point to the network. 4. In case of loss of password, the server returns, in clear, a new password, or, a link allowing to go to modify it. The interception of this email, by listening on the network, or attack of the POP3 account, can then cause the usurpation of the account. 'Transport Layer Security' Post Office Protocol 2940727 -3 The SAS relies on the user's mailbox BAL4 to send him everything he needs to register and then log on to the server . We will then talk about "ticket" connection. This is a ticket in the virtual sense, that is to say just a simple record in a table, coupled with a hyperlink contained in an email.
Le ticket vaut pour une durée paramétrable, mais il meurt dès que l'internaute se déconnecte du site. The ticket is valid for a configurable duration, but it dies as soon as the user disconnects from the site.
10 Le ticket contient une information sur l'adresse IP5 de la provenance de la demande de connexion (ordinateur ou routeur), et sur la durée de validité du ticket. Le ticket est systématiquement envoyé dans la BAL de l'internaute, qui a fourni son adresse électronique lors de sa première demande de connexion. The ticket contains information on the IP5 address of the origin of the connection request (computer or router), and on the validity period of the ticket. The ticket is always sent to the user's mailbox, which has provided his email address at his first login request.
15 Le ticket contient un identifiant et un mot de passe temporaires, permettant de retrouver l'enregistrement qui lui corespond dans la base de données. Aussi, l'interception de ce ticket, même pendant la durée de la période autorisée, n'est possible que par une personne agissant sous couvert de la même adresse IP source (Attaque Man in the Middle). The ticket contains a temporary identifier and a password, making it possible to find the record which corresponds to it in the database. Also, the interception of this ticket, even for the duration of the authorized period, is only possible by a person acting under cover of the same source IP address (Attack Man in the Middle).
20 Si l'utilisateur change ses paramètres réseau (point d'accès), se déconnecte, ou si la durée de validité du ticket est dépassée, alors le ticket est détruit. L'usurpation de l'IP de l'utilisateur, couplée à l'attaque de sa BAL, ou à l'écoute des flux, ne vaudra que pour la période de validité préalablement définie. If the user changes his network settings (access point), disconnects, or if the validity period of the ticket is exceeded, then the ticket is destroyed. The usurpation of the IP of the user, coupled with the attack of his / her / its BAL, or with the listening of the flows, will be worth only for the period of validity previously defined.
25 ° Boite Aux Lettres (électronique) 5 Internet Protocol (adresse IP, adresse logique de la machines sur un réseau donné) Détails techniques 25 ° Mailbox (electronic) 5 Internet Protocol (IP address, logical address of the machines on a given network) Technical details
Le procédé S.A.S. s'articule autour de deux notions principales, à savoir une base de données et le compte de courrier électronique de l'utilisateur. La base de données contient deux tables principales, la première étant la table de comptes utilisateurs, et la seconde, la table des tickets de connexion. De plus, il est indispensable que l'utilisateur dispose d'une adresse de courrier électronique, protégée par un moyen correct, pour qu'il puisse être traité par le S.A.S. Cette adresse peut être hébergé sur n'importe quel service de courrier électronique, indépendamment du S.A.S. Une troisième table vient compléter les deux premières, dont le contenu est temporaire puisqu'il s'agit de la table de pré inscription des utilisateurs. Le serveur sur lequel tourne le S.A.S. est un serveur Web classique disposant d'un service HTTP pour la publication des pages web, et d'un service SMTP pour communiquer avec l'utilisateur. Le TLS n'est pas indispensable, mais conseillé pour les phases de connexion. The S.A.S. process is based on two main concepts, namely a database and the user's email account. The database contains two main tables, the first being the user account table, and the second is the connection ticket table. In addition, it is essential that the user has an e-mail address, protected by a correct means, so that it can be processed by the SAS This address can be hosted on any e-mail service, independently of the SAS A third table completes the first two, whose content is temporary since it is the pre-registration table of users. The server on which the S.A.S. is running is a classic Web server with an HTTP service for publishing web pages, and an SMTP service for communicating with the user. TLS is not essential, but recommended for connection phases.
Trois tables sont donc utilisées : - utilisateurs temporaires - utilisateurs approuvés - tickets La table des utilisateurs temporaires est similaire à celle des utilisateurs approuvés, sauf qu'elle est uniquement en relation avec la table des tickets, afin de permettre à l'utilisateur d'être inséré dans la table des utilisateurs lorsqu'il accédera au site à l'aide du lien faisant référence à son numéro de ticket. Elle contient comme la table des utilisateurs approuvés, un identifiant ainsi que l'adresse de courriel de utilisateur, cryptée à l'aide d'une clé située dans une zone privative du serveur (non accessible au public), le timestamp6 de l'inscription, et le code d'activation. Three tables are therefore used: - temporary users - approved users - tickets The table of temporary users is similar to that of the approved users, except that it is only related to the ticket table, in order to allow the user to be inserted into the users' table when they access the site using the link referring to their ticket number. It contains as the table of approved users, an identifier and the user's email address, encrypted using a key located in a private area of the server (not accessible to the public), the timestamp6 of the registration , and the activation code.
Pour s'inscrire, l'utilisateur fournit son adresse de courriel sur un formulaire, il est conseillé à ce stade, de lui demander de recopier un petit code de sécurité pour limiter le risque d'abus. L'utilisateur nouvellement inscrit est enregistré dans la table des utilisateurs pré inscrits, et le condensat de l'identifiant unique de son enregistrement est calculé, on l'appellera precli_code . 'Temps en seconde depuis le 1er janvier 1970 à minuit UTC précise - 4 2940727 -5- Une fois l'utilisateur pré-enregistré dans la table de pré inscription, un enregistrement est ajouté dans la table des tickets. To register, the user provides his email address on a form, it is advisable at this point, to ask him to copy a small security code to limit the risk of abuse. The newly registered user is registered in the table of pre-registered users, and the condensate of the unique identifier of his registration is calculated, it will be called precli_code. 'Time in seconds since January 1, 1970 at midnight UTC accurate - 4 2940727 -5- Once the user pre-registered in the pre-registration table, a record is added to the ticket table.
La table des utilisateurs pré inscrits contient : 5 - un identifiant unique et incrémentiel - l'adresse de courriel cryptée - le timestamp de l'enregistrement - l'adresse IP de l'utilisateur - un champ code d'activation qui est le résultat d'un cryptage réversible de l'adresse de 10 courriel - un champ login qui contiendra le code d'activation, une fois l'utilisateur enregistré dans la table des utilisateurs approuvés. The pre-registered user table contains: 5 - a unique and incremental identifier - the encrypted email address - the timestamp of the record - the user's IP address - an activation code field which is the result of reversible encryption of the email address - a login field that will contain the activation code, once the user has been registered in the trusted users table.
La table des tickets contient des condensats (hash' ou empreinte irréversible) : 15 - un identifiant unique et incrémentiel, jamais réutilisé - le condensat de cet identifiant qui sera utilisé dans le lien envoyé à l'utilisateur. Le condensat évite la prédiction du futur numéro de ticket - un mot de passe auto généré selon les règles de qualité en vigueur, et une entropie forte, ce mot de passe sera également utilisé dans le lien 20 - un champ client qui contient la référence unique à un utilisateur une fois qu'il est présent dans la table des utilisateurs enregistrés - un champ il) qui n'est autre que le condensat de la dernière adresse IP de l'utilisateur - un champ code d'activation qui est une copie de celui de la table précédente (lorq'un utilisateur n'est pas encore inscrit définitivement) 25 - le champ precli_code calculé précédemment (hash de l'identifiant de son enregistrement dans la table des utilisateurs pré inscrits) - le timestamp de l'enregistrement - un champ mailcode optionnel destiné à l'échange de courriel anonyme entre les utilisateurs The ticket table contains condensates (hash 'or irreversible imprint): 15 - a unique and incremental identifier, never reused - the condensate of this identifier that will be used in the link sent to the user. The condensate avoids the prediction of the future ticket number - an auto password generated according to the quality rules in force, and a strong entropy, this password will also be used in the link 20 - a customer field that contains the unique reference to a user once he is present in the table of registered users - a field there) which is none other than the condensate of the last IP address of the user - an activation code field which is a copy of that of the previous table (when a user is not yet definitively registered) 25 - the previously calculated precli_code field (hash of the identifier of his registration in the table of pre-registered users) - the timestamp of the record - an optional mailcode field for anonymous email exchange between users
30 Le condensat (hash irréversible de l'identifiant de l'enregistrement précédent (table tickets) est ensuite envoyé par courriel à l'adresse fournie initialement par l'utilisateur. Cet identifiant est transmis comme une variable associée à l'URLB contenue dans le lien. Ce lien permet de revenir 'Le résultat d'une fonction de hachage selon l'algorithme d'une fonction à sens unique SUniform Resource Locator 2940727 -6- sur le site web avec comme paramètre cet identifiant de ticket, soit une variable agissant selon le mode HTTP GET9. Le lien contient également une variable "mot de passe", généré aléatoirement, selon l'état de l'art de la génération d'un mot de passe (longueur minimum, choix des caractères, casse). L'utilisateur interroge alors sa boite à lettre électronique et télécharge le courriel. Il clique en suite sur le lien qui le dirige sur la page principale du site web. Au niveau des entêtes de cette page, les variables sont analysées et l'internaute redirigé vers une page d'aiguillage, qui opère encore au niveau des entêtes http. 10 Une requête SQL10 SELECT " permet d'aller vérifier la présence d'un enregistrement dans la table des tickets avec comme identifiant, la valeur renvoyée par l'internaute. S'il est trouvé, alors la valeur des champs precli_code et code d'activation et ip sont enregistrés dans des variables de session, puis les champs precli_code et code d'activation sont remis à zéro. 15 Le condensat de l'adresse IP est alors comparé à la valeur du champ correspondant dans la table des tickets, et le timestamp actuel à celui de la valeur du champ correspondant dans cette même table, compte tenu d'une période de validité définie préalablement. Si ces deux valeurs (espace û temps) sont correctes, alors la page est ensuite redirigée vers une nouvelle qui procède à l'interrogation de la table des utilisateurs pré inscrits. Cette requête vérifie l'existence de la valeur 20 du code d'activation dans cette table. Si un enregistrement est trouvé, alors un enregistrement est inséré dans la table des utilisateurs approuvés, et l'enregistrement correspondant de la table des pé inscriptions est supprimé. Dans le même temps, la table des tickets est mise à jour afin d'associer le ticket à un utilisateur enregistré, en inscrivant l'id de ce dernier dans le champ client . La valeur du champ code d'activation est déplacée du champ correspondant vers le 25 champ login . Ainsi, lorsque l'utilisateur re-cliquera sur le lien initial, il sera redirigé vers une page qui permettra de rechercher s'il est inscrit dans la table des utilisateurs approuvés à condition que les valeurs de contrôle espace-temps (IP/timstamp) soient correctes. The condensate (irreversible hash of the identifier of the previous record (table tickets) is then sent by email to the address initially provided by the user.This identifier is transmitted as a variable associated with the URLB contained in the This link is used to return 'The result of a hash function according to the algorithm of a one-way function SUniform Resource Locator 2940727 -6- on the website with this ticket identifier as parameter, ie a variable acting according to the HTTP GET9 mode The link also contains a variable "password", generated randomly, according to the state of the art of generating a password (minimum length, choice of characters, case). The user then queries his e-mail box and downloads the e-mail, after which he clicks on the link that directs him to the main page of the website.In terms of the headings of this page, the variables are analyzed and the user returns directed to a referral page, which still operates at the http header level. 10 A SQL10 SELECT "request to check the presence of a record in the ticket table with the value returned by the user as identifier, if found, then the value of the precli_code and code fields. activation and ip are recorded in session variables, then the precli_code and activation code fields are reset to zero The condensate of the IP address is then compared to the value of the corresponding field in the ticket table, and the current timestamp to that of the value of the corresponding field in the same table, given a validity period defined beforehand.If these two values (space-time) are correct, then the page is then redirected to a new one that proceeds to the query of the table of pre-registered users This request verifies the existence of the value of the activation code in this table If a record is found, then a record The record is inserted in the Approved Users table, and the corresponding record of the registration table is deleted. At the same time, the ticket table is updated to associate the ticket with a registered user by entering the user's id in the customer field. The value of the activation code field is moved from the corresponding field to the login field. Thus, when the user re-clicks on the initial link, it will be redirected to a page that will find if it is registered in the table of approved users provided that the values of control space-time (IP / timstamp) are correct.
Il faut également prévoir les cas où l'utilisateur utilise son lien d'activation trop tard ou sous une 30 adresse IP source différente, et lui en renvoyer un nouveau après avoir remis à jour la table des pré inscriptions (effacement et nouvelle insertion). 'Requête de la ressource située à l'URL spécifiée (passage d'une variable dans l'URL) 10Structured Query Language "Sélection d'enregistrements répondants à des critères spécifiques 5 2940727 -7- Par la suite, l'utilisateur pourra réutiliser son lien pour se connecter tant que la période de validité est correcte, au delà, son ticket est effacé de la table, et un nouveau ticket est inscrit, mais directement indexé sur la table des utilisateurs approuvés, c'est à dire en renseignant seulement les champs login , client , ip et timestamp . 5 Un lien sur le site doit permettre à l'utilisateur de de déconnecter en dur c'est à dire de faire effacer son ticket. Il se trouvera alors dans la même situation que s'il était hors période de validité ou si son adresse IP avait changé. Un nouveau ticket lui sera envoyé lorsqu'il se reconnectera sur le site, soit grâce à son ancien ticket, soit en renseignant de nouveau le 10 formulaire avec son adresse de courriel. It is also necessary to foresee the cases where the user uses his activation link too late or under a different source IP address, and to send him a new one after having updated the pre-registration table (deletion and new insertion). 'Request the resource at the specified URL (passing a variable in the URL) 10Structured Query Language "Selecting Records That Respond to Specific Criteria 5 2940727 -7- Afterwards, the user will be able to reuse his link to connect as long as the period of validity is correct, beyond that, his ticket is deleted from the table, and a new ticket is registered, but directly indexed on the table of approved users, ie by informing only the login, client, ip and timestamp fields 5 A link on the site must allow the user to disconnect in hard ie to have his ticket deleted and he will be in the same situation as if he were out of validity period or if his IP address had changed.A new ticket will be sent to him when he reconnects on the site, either thanks to his old ticket, or by filling in again the 10 form with his address. ourriel.
L'utilisateur peut être désinscrit en effaçant l'enregistrement correspondant dans la table des utilisateurs approuvés. S'il change d'adresse de courriel sans prévenir, et ne possède plus son ancienne adresse, il faut pouvoir, à sa demande (écrite ou téléphonique), régénérer le code 15 d'activation manuellement ou grâce à un script qui devra être désactivé une fois utilisé (ou effacé du serveur, ou mieux encore, généré localement). Aussi, cette possibilité n'est envisageable que si l'utilisateur a fourni, lors de son inscription, de quoi le contacter (adresse postale, numéro de téléphone), ce qui dépend de la politique du site web, sinon, cela n'est pas possible. The user can be unsubscribed by deleting the corresponding record in the trusted users table. If he changes his email address without warning, and no longer has his old address, must be able, at his request (written or telephone), regenerate the activation code 15 manually or through a script that must be disabled once used (or deleted from the server, or better yet, generated locally). Also, this possibility is only possible if the user has provided, when registering, what to contact him (postal address, telephone number), which depends on the policy of the website, otherwise, this is not possible. Not possible.
20 Une option "perte de ticket", sur la page d'identification, doit pouvoir permettre à l'utilisateur de régénérer son ticket en cas de perte, vol, ou simplement doute. Pour cela, un lien d'annulation d'urgence peut être communiqué à l'utilisateur dès sa première inscription. Il devra le conserver précieusement. Il reste encore la possibilité d'envoyer un courriel à l'administrateur du site. Aussi, la procédure de changement d'adresse de courriel ne doit pouvoir se faire que par un 25 moyen sûr, en vérifiant l'ancienne adresse. Le webmaster doit en avertir explicitement les utilisateurs pour ne pas occasionner de blocages. A "lost ticket" option, on the identification page, must be able to allow the user to regenerate his ticket in case of loss, theft, or simply doubt. For this, an emergency cancellation link can be communicated to the user as soon as it is first registered. He will have to keep it preciously. There is still the possibility of sending an email to the site administrator. Also, the procedure for changing the e-mail address can only be done by a secure means, by checking the old address. The webmaster must explicitly warn users not to cause blockages.
Si les utilisateurs désirent communiquer entre eux sans que leur adresse de courriel ne soit divulgué, des tickets peuvent être envoyés sur le même principe, en renseignant un champ 30 expéditeur et un champ destinataire avec les adresses électroniques sous forme cryptées symétrique. Le simple fait de renseigner ces deux champs détermine le type d'action à réaliser par le serveur, qui sera dans ce cas, non plus une authentification, mais un envoi de courriel. Les tickets permettront ainsi aux utilisateurs de dialoguer anonymement, grâce à un formulaire de contact. 2940727 -8- Le procédé S.A.S. permet non seulement aux utilisateurs de protéger leurs données de connexion, mais également de communiquer entre eux de manière anonyme par la suite. If the users wish to communicate with each other without their e-mail address being disclosed, tickets can be sent on the same principle, by filling in a sender field and a recipient field with the e-mail addresses in symmetric encrypted form. The simple fact of informing these two fields determines the type of action to be performed by the server, which will be in this case, not an authentication, but an email. The tickets will allow users to communicate anonymously through a contact form. The S.A.S. method not only allows users to protect their connection data, but also to communicate with each other anonymously thereafter.
La S.A.S. accélère la procédure d'enregistrement d'un nouvel utilisateur, et ne nécessite pas 5 d'intervention humaine, hormis pour la maintenance classique mais pas spécifique. Le S.A.S peut traiter des demandes d'enregistrement ou d'autorisation multiples sur une même période. Les courriels envoyés aux internautes doivent scrupuleusement respecter l'état de l'art (RFC en vigueur) pour ne pas être considérés comme des courriel suspects (spam ou pourriel). 2940727 ANNEXE The S.A.S. accelerates the registration procedure of a new user, and does not require human intervention, except for the conventional but not specific maintenance. The S.A.S can process multiple registration or authorization requests over the same period. Emails sent to Internet users must scrupulously respect the state of the art (RFC in force) to not be considered as suspicious emails (spam or spam). 2940727 SCHEDULE
Les éléments de l'authentification forte Seuls des éléments ou facteurs inviolables et non subtilisables peuvent assurer une réelle solidité 5 pour une authentification. On considère que ces éléments peuvent être : • Ce que l'entité connaît (un mot de passe, un code NIP, une phrase secrète, etc.), • Ce que l'entité détient (une carte magnétique, RFID, une clé USB, un PDA, une carte à puce, etc. Soit un Authentifieur ou Token ), • Ce que l'entité est, soit une personne physique (empreinte digitale, empreinte rétinienne, 10 structure de la main, structure osseuse du visage ou tout autre élément biométrique), • Ce que l'entité sait faire, soit une personne physique (biométrie comportementale tel que signature manuscrite, reconnaissance de la voix, un type de calcul connu de lui seul, etc.), • Où l'entité est, soit un endroit d'où, suite à une identification et authentification réussie, elle est autorisée (accéder à un système logique d'un endroit prescrit). Elements of Strong Authentication Only inviolable and unstable elements or factors can provide real strength for authentication. These elements can be: • What the entity knows (a password, a PIN code, a passphrase, etc.) • What the entity holds (a magnetic card, RFID, a USB key , a PDA, a smart card, etc. Either an Authenticator or Token), • What the entity is, either a physical person (fingerprint, retinal footprint, 10 hand structure, bone structure of the face or any other biometric element), • What the entity can do, ie a physical person (behavioral biometry such as handwritten signature, voice recognition, a type of calculation known only to himself, etc.), • Where the entity is, a place where, following successful identification and authentication, it is authorized (access to a logical system from a prescribed location).
Claims (10)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR0904856A FR2940727A1 (en) | 2008-12-31 | 2009-10-09 | Strong authentication method for user terminal of Internet, involves transmitting message from web server to user terminal, where message contains hypertext link permitting registration of terminal in account table |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR0806682A FR2940733A1 (en) | 2008-12-31 | 2008-12-31 | W3S: WEB SIMPLE SAFETY SYSTEM. |
FR0904856A FR2940727A1 (en) | 2008-12-31 | 2009-10-09 | Strong authentication method for user terminal of Internet, involves transmitting message from web server to user terminal, where message contains hypertext link permitting registration of terminal in account table |
Publications (1)
Publication Number | Publication Date |
---|---|
FR2940727A1 true FR2940727A1 (en) | 2010-07-02 |
Family
ID=42261373
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
FR0806682A Pending FR2940733A1 (en) | 2008-12-31 | 2008-12-31 | W3S: WEB SIMPLE SAFETY SYSTEM. |
FR0904856A Pending FR2940727A1 (en) | 2008-12-31 | 2009-10-09 | Strong authentication method for user terminal of Internet, involves transmitting message from web server to user terminal, where message contains hypertext link permitting registration of terminal in account table |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
FR0806682A Pending FR2940733A1 (en) | 2008-12-31 | 2008-12-31 | W3S: WEB SIMPLE SAFETY SYSTEM. |
Country Status (1)
Country | Link |
---|---|
FR (2) | FR2940733A1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018029564A1 (en) | 2016-08-09 | 2018-02-15 | Auvercloud | System and method for authentication of a user of an application system by a central server, without using a password |
-
2008
- 2008-12-31 FR FR0806682A patent/FR2940733A1/en active Pending
-
2009
- 2009-10-09 FR FR0904856A patent/FR2940727A1/en active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018029564A1 (en) | 2016-08-09 | 2018-02-15 | Auvercloud | System and method for authentication of a user of an application system by a central server, without using a password |
Also Published As
Publication number | Publication date |
---|---|
FR2940733A1 (en) | 2010-07-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1625690B1 (en) | Method and apparatus for authentication of users and web sites | |
EP1008257B1 (en) | Method and system for ensuring the security of telephone call management centres | |
KR101133829B1 (en) | Verifying authenticity of webpages | |
US20080028100A1 (en) | Tracking domain name related reputation | |
US20080021890A1 (en) | Presenting search engine results based on domain name related reputation | |
EP3391614B1 (en) | Method for sending digital information | |
WO2011073560A1 (en) | Access to a network for distributing digital content | |
WO2007012583A1 (en) | Method for controlling secure transactions using a single physical device, corresponding physical device, system and computer programme | |
WO1998013990A2 (en) | Method and system for ensuring the security of the supply of services of telecommunication operators | |
EP2220812A2 (en) | Method of authenticating a user | |
WO2003107587A1 (en) | Interface method and device for the on-line exchange of contents data in a secure manner | |
FR2940727A1 (en) | Strong authentication method for user terminal of Internet, involves transmitting message from web server to user terminal, where message contains hypertext link permitting registration of terminal in account table | |
EP1227640B1 (en) | Method and system for communicating a certificate between a security module and a server | |
EP1400090B1 (en) | Method and device for securing communications in a computer network | |
FR2844943A1 (en) | Mobile telephone/internet secure access multimedia contents having isolating identifier with field linking first identifiant/user and second field filtering topics chosen only. | |
WO2004017269A1 (en) | Method and system for the secure transmission of a confidential code through a telecommunication network | |
EP3206149B1 (en) | Method for monitoring a parameter indicating a level of confidence associated with a user account of an online service | |
WO2018029564A1 (en) | System and method for authentication of a user of an application system by a central server, without using a password | |
WO2006134072A1 (en) | Method for protection against tampering of a client terminal using a secure connection with a server on a public network | |
FR3007929A1 (en) | METHOD FOR AUTHENTICATING A USER OF A MOBILE TERMINAL | |
WO2017109352A1 (en) | Method and device for connecting to a remote server | |
EP1484895A1 (en) | Process of access to a network or a service by using a protocol of the family of PPPoX protocols, and architecture implementing such a process | |
FR2814622A1 (en) | Message exchange payment transactions having coupons forming transaction client agreement with server receiving validation and multiple validations carried out with transaction passwords. |