FR3023042A1 - METHOD OF DISPLAYING A GRAPH OF ENTERING A PASSWORD ON A USER TERMINAL - Google Patents
METHOD OF DISPLAYING A GRAPH OF ENTERING A PASSWORD ON A USER TERMINAL Download PDFInfo
- Publication number
- FR3023042A1 FR3023042A1 FR1456222A FR1456222A FR3023042A1 FR 3023042 A1 FR3023042 A1 FR 3023042A1 FR 1456222 A FR1456222 A FR 1456222A FR 1456222 A FR1456222 A FR 1456222A FR 3023042 A1 FR3023042 A1 FR 3023042A1
- Authority
- FR
- France
- Prior art keywords
- sign
- noise
- grid
- display
- displayable
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/36—User authentication by graphic or iconic representation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/031—Protect user input by software means
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/032—Protect output to user by software means
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- User Interface Of Digital Computer (AREA)
Abstract
L'invention concerne un procédé d'affichage d'une grille de saisie d'un mot de passe sur un terminal utilisateur, ladite grille comprenant une pluralité d'images affichables, une image affichable comprenant au moins un signe, l'image affichable étant destinée à être sélectionnée par l'utilisateur en tant que composante du mot de passe, le procédé comprend les étapes suivantes : - génération (EO) de la grille de saisie, les images affichables étant positionnées de manière aléatoire dans la grille, - pour un signe composant l'image, génération (E1) d'un aléa propre au signe de l'image, - affichage (E2) du signe à une position obtenue pour l'image à partir de la grille de saisie, lorsque l'aléa propre au signe est inférieur à une probabilité d'affichage, les étapes de génération de l'aléa et d'affichage du signe étant réitérées à intervalles réguliers.The invention relates to a method for displaying a password entry grid on a user terminal, said grid comprising a plurality of displayable images, a displayable image comprising at least one sign, the displayable image being intended to be selected by the user as a component of the password, the method comprises the following steps: - generation (EO) of the input grid, the displayable images being positioned randomly in the grid, - for a sign composing the image, generation (E1) of a randomness proper to the sign of the image, - display (E2) of the sign at a position obtained for the image from the input grid, when the hazard itself the sign is less than a display probability, the steps of generating the hazard and displaying the sign being reiterated at regular intervals.
Description
Procédé d'affichage d'une grille de saisie d'un mot de passe sur un terminal utilisateur La présente invention concerne un procédé d'affichage d'une grille de saisie d'un mot de passe sur un terminal utilisateur. Il repose sur la présentation de grilles de saisie successives différentes comprenant chacune une partie d'une information. Les grilles, affichées selon une fréquence donnée permettent à l'utilisateur, grâce à un mécanisme de persistance rétinienne, d'avoir une sensation de visualisation de l'information complète et en continu. L'invention trouve une application particulièrement intéressante dans la protection de l'accès à des services sensibles contre des attaques au moyen de logiciels espion, installés sur le terminal de l'utilisateur à l'insu de celui-ci. On connaît diverses méthodes d'authentification par mot de passe. Avec une telle méthode, il est demandé à l'utilisateur de saisir un mot de passe qu'il a préalablement choisi. Dans le cas d'un mot de passe de type code personnel d'identification (on parle habituellement de code « PIN » pour « Personal Identification Number »), il est habituel d'afficher un clavier numérique sur un terminal avec écran tactile afin que l'utilisateur tape un code à quatre chiffres correspondant à son code PIN. Dans un exemple de saisie d'un code pin, les chiffres sont positionnés de manière aléatoire sur le clavier numérique lors d'une demande d'authentification afin de limiter les risques d'espionnage. Cependant, une telle méthode peut s'avérer non sûre si l'utilisateur est situé dans un environnement hostile, où toutes les actions qu'il fait peuvent être épiées et analysées. On connaît ainsi des logiciels espion (de type « keylogger » et/ou « spyware » en anglais) capables d'enregistrer tous les faits et gestes de l'utilisateur sur son terminal : accès au clavier, déplacement et clics de souris, capture d'écran de manière périodique et envoi de ces informations à un serveur distant. Il est alors facile pour une personne malintentionnée d'obtenir des données sensibles d'identification et d'authentification telles que des numéros de cartes bancaires, des mots de passe, etc., même lorsque celles-ci sont saisies sur un écran tactile. Cette personne peut ensuite accéder à des comptes personnels de l'utilisateur en utilisant ces données d'identification et d'authentification. Avec la multiplication des terminaux intelligents, tels que des smartphones, qui accèdent au réseau Internet et qui peuvent être infectés de la même manière qu'un ordinateur, les fraudes de ce genre se multiplient. On comprend qu'une méthode d'authentification par mot de passe reste fragile, voire insuffisante en termes de sécurité. Un des buts de l'invention est de remédier à des insuffisances/inconvénients de l'état de la technique et/ou d'y apporter des améliorations.The present invention relates to a method of displaying a grid for entering a password on a user terminal. It is based on the presentation of different successive entry grids each comprising part of an information. The grids, displayed according to a given frequency, allow the user, thanks to a mechanism of retinal persistence, to have a sensation of visualization of the complete and continuous information. The invention finds a particularly interesting application in the protection of access to sensitive services against attacks by means of spyware, installed on the user's terminal without the latter's knowledge. Various methods of password authentication are known. With such a method, the user is asked to enter a password that he has previously chosen. In the case of a personal identification code type password (usually referred to as "PIN" for "Personal Identification Number"), it is usual to display a keypad on a terminal with a touch screen so that the user enters a four-digit code corresponding to his PIN code. In an example of entering a pin code, the digits are randomly positioned on the keypad during an authentication request to limit the risk of espionage. However, such a method may be unsafe if the user is located in a hostile environment, where all the actions he or she does can be watched and analyzed. Thus known spyware (type "keylogger" and / or "spyware" in English) able to record all the facts and gestures of the user on his terminal: access to the keyboard, moving and mouse clicks, capturing screen periodically and sending this information to a remote server. It is then easy for a malicious person to obtain sensitive identification and authentication data such as credit card numbers, passwords, etc., even when these are entered on a touch screen. This person can then access the user's personal accounts using this identification and authentication data. With the proliferation of smart devices, such as smartphones, who access the Internet and who can be infected in the same way as a computer, frauds of this kind multiply. It is understood that a password authentication method remains fragile, or even insufficient in terms of security. One of the aims of the invention is to remedy the shortcomings / disadvantages of the state of the art and / or to make improvements thereto.
A cette fin, l'invention propose un procédé d'affichage d'une grille de saisie d'un mot de passe sur un terminal utilisateur, ladite grille comprenant une pluralité d'images affichables, une image affichable comprenant au moins un signe, l'image affichable étant destinée à être sélectionnée par l'utilisateur en tant que composante du mot de passe, le procédé comprend les étapes suivantes : - génération de la grille de saisie, les images affichables étant positionnées de manière aléatoire dans la grille, - pour un signe composant l'image, génération d'un aléa propre au signe de l'image, - affichage du signe à une position obtenue pour l'image à partir de la grille de saisie, lorsque l'aléa propre au signe est inférieur à une probabilité d'affichage, les étapes de génération de l'aléa et d'affichage du signe étant réitérées à intervalles réguliers. Le procédé d'affichage d'une grille de saisie de mot de passe est résistant à des attaques connues qui utilisent des logiciels espions capables de récupérer des informations sensibles par observation de ce qui se passe sur le terminal de l'utilisateur. En effet, de tels logiciels installés sur le terminal à l'insu de l'utilisateur ne disposent du processeur du terminal que pour un quantum de temps donné, au même titre que d'autres processus qui s'exécutent sur le terminal. Ainsi, lorsque le logiciel espion réalise par exemple une image d'écran, celle-ci correspond à un instantané de ce qui est affiché et qui est stocké en mémoire pendant ce quantum de temps. Le procédé propose de n'afficher et ne stocker dans la mémoire du terminal qu'une partie de l'information nécessaire à l'utilisateur et de faire varier cette partie d'information de manière à ce que l'utilisateur perçoive une information complète. Pour cela, le procédé utilise la capacité de l'oeil à créer une continuité d'images alors que celles-ci sont décomposées en images partielles. Il est en effet connu que les cellules de la rétine de l'oeil gardent en mémoire une image pendant environ un dixième de seconde. Ce phénomène est connu sous le nom de persistance rétinienne. Ainsi, lors d'une authentification de l'utilisateur depuis son terminal, basée de manière classique sur la saisie par cet utilisateur d'un mot de passe comprenant une pluralité d'images affichables, l'utilisateur voit sur son écran la pluralité d'images affichables en continu. Il peut ainsi sélectionner les composantes de son mot de passe. Cependant, l'affichage consiste à afficher à des intervalles de temps successifs des grilles de saisie courantes qui ne comprennent qu'une partie des images affichables. Des paramètres de configuration tels qu'un délai de rafraîchissement qui définit la durée de l'intervalle de temps et une probabilité d'affichage sont choisis de façon à ce que l'utilisateur ait une impression d'affichage continu de la grille de saisie complète. Cependant, une grille de saisie courante, affichée pendant un intervalle de temps courant ne comprend qu'une partie des informations de la grille de saisie. Un logiciel espion qui fait une copie d'écran à un instant donné, n'obtient donc qu'une vue erronée de la grille de saisie puisqu'il obtient la grille de saisie courante qui ne comprend qu'une partie des informations affichables. Il ne peut donc en déduire les images affichables et reconstituer le mot de passe de l'utilisateur. Avec le procédé d'affichage d'une grille de saisie de mot de passe, l'utilisateur a une sensation de vision d'information complète et continue alors qu'une capture d'écran à un instant donné ou sur une période donnée ne permet d'obtenir que des informations partielles, voire brouillées.To this end, the invention proposes a method of displaying a password entry grid on a user terminal, said gate comprising a plurality of displayable images, a displayable image comprising at least one sign, displayable image being intended to be selected by the user as a component of the password, the method comprises the following steps: - generation of the input grid, the displayable images being positioned randomly in the grid, - for a sign composing the image, generation of a hazard specific to the sign of the image, - display of the sign at a position obtained for the image from the input grid, when the randomness of the sign is less than a probability of display, the steps of generating the hazard and displaying the sign being reiterated at regular intervals. The method of displaying a password entry grid is resistant to known attacks that use spyware capable of retrieving sensitive information by observing what is happening on the user's terminal. Indeed, such software installed on the terminal without the knowledge of the user have the terminal processor for a given quantum of time, in the same way as other processes that run on the terminal. Thus, when the spyware makes for example a screen image, it corresponds to a snapshot of what is displayed and stored in memory during this quantum of time. The method proposes to display and store in the memory of the terminal only part of the information necessary for the user and to vary this part of information so that the user perceives a complete information. For this, the method uses the ability of the eye to create a continuity of images while they are broken down into partial images. It is known that the cells of the retina of the eye keep an image in memory for about a tenth of a second. This phenomenon is known as retinal persistence. Thus, during authentication of the user from his terminal, based in a conventional manner on the entry by this user of a password comprising a plurality of displayable images, the user sees on his screen the plurality of streaming images. He can thus select the components of his password. However, the display consists of displaying, at successive time intervals, current entry grids which comprise only part of the displayable images. Configuration parameters such as a refresh delay that defines the duration of the time interval and a display probability are chosen so that the user has a continuous display impression of the complete input grid . However, a current input grid displayed during a current time interval includes only part of the information in the input grid. Spyware that makes a screen copy at a given moment, therefore only gets a wrong view of the input grid since it obtains the current input grid that includes only part of the displayable information. It can not therefore deduce the displayable images and reconstruct the password of the user. With the method of displaying a password entry grid, the user has a complete and continuous information viewing sensation whereas a screen shot at a given moment or over a given period does not allow to obtain only partial or even scrambled information.
Dans un cas où les images affichables sont formées d'une pluralité de signes, les grilles de saisie courantes, qui comprennent pour une image affichable donnée, une partie des signes de l'image, fournissent très peu d'information significative lors d'une copie d'écran à un instant donné. La décomposition des images affichables en signes augmente ainsi le niveau de sécurité. D'autre part, le procédé qui sécurise des méthodes de saisie de mot de passe classiques, basées par exemple sur la saisie de quatre chiffres ou d'une suite de quelques caractères significatifs pour l'utilisateur permet de ne pas complexifier ces méthodes pour lutter contre les attaques connues. En effet, une possibilité pour pallier les attaques connues serait d'utiliser des mots de passe plus complexes, basés par exemple sur des codes, des images, des ordonnancements, etc. Avec le procédé décrit, l'utilisateur continue à saisir les mots de passe au format habituel tout en ayant l' assurance d'un niveau de sécurité plus élevé. Dans un mode de réalisation, l'image affichable est composée d'un unique signe. Dans ce mode de réalisation, une image affichable entière est, ou n'est pas affichée à un instant donné dans une grille de saisie courante. Le procédé est moins complexe à mettre en oeuvre et nécessite moins d'espace mémoire. En effet, il manipule moins de données. Par exemple, un seul aléa doit être généré par image affichable. Dans un autre mode de réalisation, l'ensemble de signes d'une image affichable forme un chiffre. Ce mode de réalisation est adapté à la saisie de mots de passe de type code PIN. Dans un mode de réalisation, la grille comprend au moins un emplacement vide.In a case where the displayable images are formed of a plurality of signs, the current input grids, which include for a given displayable image, a portion of the signs of the image, provide very little meaningful information at a given time. screenshot at a given moment. Decomposing the displayable images into signs thus increases the level of security. On the other hand, the method that secures conventional password entry methods, based for example on the entry of four digits or a sequence of some significant characters for the user allows not to complicate these methods to fight against known attacks. Indeed, a possibility to overcome the known attacks would be to use more complex passwords, based for example on codes, images, ordering, etc. With the method described, the user continues to enter passwords in the usual format while having the assurance of a higher level of security. In one embodiment, the displayable image is composed of a single sign. In this embodiment, an entire displayable image is, or is not displayed at a given time in a current input grid. The method is less complex to implement and requires less memory space. Indeed, it manipulates less data. For example, a single hazard must be generated by displayable image. In another embodiment, the set of signs of a displayable image forms a number. This embodiment is suitable for entering passwords of the PIN code type. In one embodiment, the grid comprises at least one empty slot.
De façon avantageuse, un bruit affichable est affiché, le bruit affichable comprenant au moins un signe de bruit. L'introduction de signes de bruit dans les grilles de saisie courantes est destinée à complexifier l' analyse de copies d'écran faites à différents instants tout en maintenant le procédé de saisie par l'utilisateur confortable. Les signes de bruit, non significatifs et non gênants pour l'utilisateur lorsqu'il saisit son mot de passe, sont destinés augmenter le nombre de signes affichés dans une grille de saisie courante. Plus il y a de signes affichés sur une grille et plus une analyse à un instant donné de la grille est compliquée. Dans un exemple de réalisation, le procédé comprend en outre les étapes suivantes : - génération aléatoire pour un emplacement vide d'un signe de bruit, - génération d'un aléa propre au signe de bruit, - affichage du signe de bruit lorsque l'aléa propre au bruit est inférieur à une probabilité d' affichage d'un bruit, les étapes de génération d'un signe de bruit, de génération d'un aléa propre au signe de bruit et d' affichage du signe de bruit étant réitérées à intervalles réguliers.Advantageously, a display noise is displayed, the displayable noise comprising at least one noise sign. The introduction of noise signs into common input grids is intended to complicate the analysis of screen shots made at different times while keeping the user input method comfortable. Signs of noise, insignificant and not annoying to the user when he enters his password, are intended to increase the number of signs displayed in a current input grid. The more signs are displayed on a grid, the more difficult it is to analyze at a given moment in the grid. In an exemplary embodiment, the method furthermore comprises the following steps: random generation for an empty location of a noise sign, generation of a hazard specific to the noise sign, display of the noise sign when the noise sign is generated. noise - specific randomness is less than a probability of displaying a noise, the steps of generating a noise sign, generating a hazard specific to the noise sign and displaying the noise sign being reiterated at regular intervals.
Les bruits ne perturbent pas l'utilisateur lors de la saisie d'un mot de passe. En effet, un bruit affiché à un instant donné dans un emplacement donné de la grille de saisie courante a de fortes probabilités d'être remplacé dans l'emplacement donné par un autre signe ou par un « caractère espace » (ou « du vide ») dans une grille de saisie courante suivante. Le phénomène de persistance rétinienne est donc sans effet avec les bruits. L'utilisateur perçoit souvent dans ces emplacements un clignotement qu'il ne peut confondre avec les images affichables qu'il peut sélectionner en tant que composantes de son mot de passe. Dans un mode de réalisation, le délai de rafraîchissement est compris entre 5 ms et 40 MS. On considère que cet intervalle permet d'offrir à l'utilisateur une impression visuelle confortable lors de l' affichage d'une grille de saisie est confortable. On considère que cette impression est confortable lorsque des clignotements de l'affichage sont réduits au minimum. Dans ce cas l'utilisateur n'a aucun effort à faire pour visualiser les images affichables de la grille de saisie. Dans un autre mode de réalisation, la probabilité d'affichage est comprise entre 0,3 et 0,6. Des tests ont permis de mettre en avant que plus la probabilité d' affichage était faible et plus il était difficile d'obtenir une copie d'écran significative dans le sens où cette copie se suffit à elle-même pour reconstituer facilement la grille de saisie initiale. L'intervalle de valeurs proposé ici représente les valeurs optimum pour la probabilité d' affichage.Noise does not disturb the user when entering a password. Indeed, a noise displayed at a given moment in a given location of the current input grid has a high probability of being replaced in the given location by another sign or by a "space character" (or "empty"). ) in a following current entry grid. The phenomenon of retinal persistence is therefore without effect with the noises. The user often perceives in these locations a blinking that he can not confuse with the displayable images that he can select as components of his password. In one embodiment, the refresh time is between 5 ms and 40 ms. This interval is considered to offer the user a comfortable visual impression when displaying a gripping grid is comfortable. This impression is considered comfortable when the display flashes to a minimum. In this case the user has no effort to do to view the displayable images of the input grid. In another embodiment, the display probability is between 0.3 and 0.6. Tests have made it possible to highlight that the lower the probability of display, the more difficult it is to obtain a significant screen copy in the sense that this copy is self-sufficient for easily reconstructing the input grid. initial. The range of values proposed here represents the optimum values for the display probability.
L'invention concerne aussi un terminal utilisateur adapté pour afficher une grille de saisie d'un mot de passe, ladite grille comprenant une pluralité d'images affichables, une image affichable comprenant au moins un signe, l'image affichable étant destinée à être sélectionnée par l'utilisateur en tant que composante du mot de passe, le terminal comprenant : - des premiers moyens de génération, agencés pour générer la grille de saisie, les images affichables étant positionnées de manière aléatoire dans la grille, - des deuxièmes moyens de génération, agencés pour générer un aléa propre au signe de l'image, - des moyens d' affichage, agencés pour afficher le signe à une position obtenue pour l'image à partie de la grille de saisie, lorsque l' aléa propre au signe est inférieur à une probabilité d' affichage, - des moyens d'itération, agencés pour itérer la génération de l'aléa et l'affichage du signe à des instants successifs associés à un délai de rafraîchissement. L'invention porte également sur un programme d'ordinateur sur un support de données et chargeable dans la mémoire d'un ordinateur, le programme comprenant des instructions de code pour l'exécution des étapes du procédé d'affichage d'une grille de saisie d'un mot de passe tel que décrit précédemment, lorsque le programme est exécuté sur ledit ordinateur. L'invention concerne aussi un support de données dans lequel est enregistré le programme décrit précédemment.The invention also relates to a user terminal adapted to display a password entry grid, said grid comprising a plurality of displayable images, a displayable image comprising at least one sign, the displayable image being intended to be selected by the user as a component of the password, the terminal comprising: - first generation means, arranged to generate the input grid, the displayable images being randomly positioned in the grid, - second generation means , arranged to generate a hazard specific to the sign of the image, - display means, arranged to display the sign at a position obtained for the image from the input grid, when the hazard specific to the sign is less than a display probability, - iteration means, arranged to iterate the generation of the hazard and the display of the sign at successive times associated with a delay refreshment. The invention also relates to a computer program on a data carrier and loadable in the memory of a computer, the program comprising code instructions for performing the steps of the method of displaying an input grid a password as described above, when the program is run on said computer. The invention also relates to a data carrier in which the program described above is recorded.
D'autres caractéristiques et avantages de la présente invention seront mieux compris de la description et des dessins annexés parmi lesquels : - la figure 1 présente les étapes d'un procédé d'affichage d'une grille de saisie d'un mot de passe sur un terminal utilisateur, selon un premier mode de réalisation ; - la figure 2 présente les étapes d'un procédé d'affichage d'une grille de saisie d'un mot de passe sur un terminal utilisateur, selon un deuxième mode de réalisation ; - les figures 3a et 3b présentent des exemples de grilles de saisie obtenues à des instants différents, telles qu'elles apparaissent à l'utilisateur lors d'un procédé de saisie de mot de passe ; - la figure 4 est une représentation schématique d'un terminal utilisateur, adapté pour la mise en oeuvre du procédé d'affichage d'une grille de saisie d'un mot de passe, selon un exemple de réalisation de l'invention. Les étapes d'un procédé d' affichage d'une grille de saisie d'un mot de passe, selon un premier exemple de réalisation, vont maintenant être décrites en relation avec la figure 1.Other features and advantages of the present invention will be better understood from the description and the appended drawings in which: FIG. 1 shows the steps of a method of displaying a password entry grid on a user terminal, according to a first embodiment; FIG. 2 presents the steps of a method of displaying a password entry grid on a user terminal, according to a second embodiment; FIGS. 3a and 3b show examples of input grids obtained at different times as they appear to the user during a password entry process; FIG. 4 is a schematic representation of a user terminal, adapted for implementing the method for displaying a password entry grid, according to an embodiment of the invention. The steps of a method for displaying a password entry grid, according to a first exemplary embodiment, will now be described in relation to FIG. 1.
On suppose qu'un utilisateur a accès à un terminal muni de moyens d'affichage et de moyens de saisie. Le terminal est par exemple un ordinateur personnel, un terminal mobile de type smartphone, une tablette numérique, etc. Le terminal peut également être une borne de saisie d'une enseigne, la borne étant reliée à un serveur de traitement. Le terminal peut communiquer avec un serveur distant pour accéder à un service. Les moyens d' affichage sont par exemple un écran. Les moyens de saisie sont par exemple un clavier. Dans un exemple de terminal muni d'un écran tactile, l'écran constitue également les moyens de saisie. Le terminal, ou le serveur distant, est agencé pour mémoriser une application qui comprend des instructions de code pour mettre en oeuvre les étapes du procédé d'affichage d'une grille de saisie sur les moyens d'affichage du terminal.It is assumed that a user has access to a terminal provided with display means and input means. The terminal is for example a personal computer, a smartphone-type mobile terminal, a digital tablet, etc. The terminal can also be a terminal for entering a sign, the terminal being connected to a processing server. The terminal can communicate with a remote server to access a service. The display means are for example a screen. The input means are for example a keyboard. In an example terminal with a touch screen, the screen is also the input means. The terminal, or the remote server, is arranged to store an application that includes code instructions to implement the steps of the method of displaying an input grid on the display means of the terminal.
Dans une étape initiale EO de configuration, il est généré une grille de saisie initiale et il est choisi des paramètres de configuration. La grille de saisie initiale comprend une pluralité d'emplacements. Un emplacement est destiné à accueillir une image affichable, ou à être vide. Une image affichable est une image visible, par exemple un caractère alphanumérique, tel une lettre ou un chiffre, un caractère de ponctuation, une image simple, c'est-à-dire non composée de plusieurs images simples, un symbole simple, etc. Dans l'exemple de réalisation décrit ici, on considère que les images affichables sont des chiffres et que le mot de passe à saisir est un code « PIN » (de l'anglais « Personal Identification Number »). On considère par ailleurs que les images affichables sont composées d'au moins un signe. Typiquement, un chiffre peut être composé de signes de type segments verticaux et/ou horizontaux. Par exemple, le chiffre « 2 » peut être affiché au moyen de trois segments horizontaux et deux segments verticaux. Dans un exemple de réalisation, un signe peut être réduit à un point. Dans cet exemple, un chiffre est composé d'un ensemble de points et peut être représenté par une matrice de points. Lors de la génération de la grille de saisie initiale, les images affichables sont positionnées de manière aléatoire dans les emplacements de la grille. On suppose que la taille et le nombre d'emplacements de la grille de saisie sont adaptés au nombre d'images affichables que la grille de saisie est censée héberger. Il est habituel que la grille possède plus d'emplacements que d'images affichables, certains des emplacements restant alors vides. A noter que lors de cette étape EO de configuration, la grille de saisie, et plus précisément les images affichables, ne sont pas affichées sur l'écran du terminal de l'utilisateur. La grille de saisie ainsi générée et la position des images affichables dans les emplacements de la grille sont mémorisées dans une mémoire du terminal mobile. Deux exemples de grilles de saisie initiales sont représentées sur les figures 3a et 3b : ce sont les grilles ga0 et gb0. On remarque qu'elles comprennent des emplacements vides, représentés sur les figures par le caractère underscore « _ » pour des raisons de lisibilité.In an initial EO configuration step, an initial input grid is generated and configuration parameters are selected. The initial input grid comprises a plurality of locations. A location is intended to accommodate a displayable image, or to be empty. A displayable image is a visible image, for example an alphanumeric character, such as a letter or a number, a punctuation character, a simple image, that is to say not composed of several simple images, a simple symbol, etc. In the embodiment described here, it is considered that the displayable images are digits and that the password to be entered is a "PIN" (of the "Personal Identification Number") code. It is further considered that the displayable images are composed of at least one sign. Typically, a number may be composed of vertical and / or horizontal segment type signs. For example, the number "2" can be displayed using three horizontal segments and two vertical segments. In an exemplary embodiment, a sign may be reduced to a point. In this example, a number is composed of a set of points and can be represented by a matrix of points. When generating the initial input grid, the displayable images are randomly positioned in the grid locations. It is assumed that the size and number of locations of the input grid are adapted to the number of displayable images that the input grid is intended to host. It is common for the grid to have more slots than viewable images, with some of the slots remaining empty. Note that during this EO configuration step, the input grid, and more precisely the displayable images, are not displayed on the screen of the user's terminal. The input grid thus generated and the position of the images that can be displayed in the locations of the grid are stored in a memory of the mobile terminal. Two examples of initial input grids are shown in FIGS. 3a and 3b: these are the grids ga0 and gb0. Note that they include empty locations, represented in the figures by the underscore character "_" for readability reasons.
Lors de l'étape EO de configuration, il est également déterminé un délai de rafraîchissement A et une probabilité d'affichage PA. Le délai de rafraîchissement A correspond à un intervalle de temps pendant lequel une grille de saisie courante est affichée à l'écran. La probabilité d'affichage PA est destinée à déterminer si un signe ou une image affichable de la grille de saisie initiale doit ou non être affiché dans une grille de saisie courante présentée à l'écran pendant un intervalle de temps courant. De manière classique, la probabilité d'affichage PA est une valeur comprise dans un intervalle [0, 11. Dans une étape suivante El de génération d'aléas, il est généré un aléa pour chaque signe compris dans une image affichable de la grille initiale. Ainsi, pour le chiffre 2, cinq aléas sont générés, chacun des aléas étant propre à un signe qui compose le chiffre. L'aléa est choisi dans le même intervalle de valeurs que la probabilité d'affichage PA, en l'espèce dans l'intervalle [0, 11. Il est destiné à être comparé à la probabilité d'affichage PA. Dans une étape suivante E2 d'affichage, une grille de saisie courante est affichée à l'écran. Un signe d'une image affichable comprise dans la grille de saisie initiale est affiché dans la grille de saisie courante si l'aléa propre à ce signe, généré au cours de l'étape El, est inférieur à la probabilité d'affichage PA. Bien sûr, on comprend que lorsque l'aléa propre à un signe est inférieur à la probabilité d'affichage, le signe est affiché dans la grille de saisie courante à la même position que celle qu'il occupe dans la grille de saisie initiale générée au cours de l'étape initiale E0. Si l'aléa est supérieur à la probabilité d'affichage, rien n'est affiché dans l'emplacement du signe. La grille de saisie courante est affichée pendant un intervalle de temps courant A,, égal au délai de rafraîchissement A. Au terme de l'intervalle de temps courant A,, les étapes El de génération d'aléas et E2 d'affichage sont réitérées. A chaque itération, une nouvelle grille de saisie courante est donc affichée. On comprend qu'un signe qui était affiché à l'instant précédent peut ne pas être affiché dans cette nouvelle grille de saisie, selon la valeur de l'aléa généré pour le signe lors de cette itération. Une succession de grilles de saisie courantes est alors affichée, chacune des grilles étant affichée pendant un intervalle de temps courant de durée égale au délai de rafraîchissement. Un signe qui forme une partie d'une image affichable est, ou n'est pas, affiché pendant cet intervalle de temps courant, en fonction de l'aléa propre à ce signe généré lors d'une itération de l'étape El de génération d'aléas. Ainsi, pendant un intervalle de temps courant A,, une partie seulement de l'information importante qui forme l'ensemble des images affichables proposées pour la saisie d'un mot de passe est affichée. Cette partie est renouvelée à chaque intervalle de temps selon la probabilité d'affichage et l'aléa généré.In the configuration step EO, a refresh delay A and a display probability PA are also determined. The refresh time A corresponds to a time interval during which a current input grid is displayed on the screen. The display probability PA is intended to determine whether or not a sign or displayable image of the initial input grid should be displayed in a current input grid presented on the screen during a current time interval. In a conventional manner, the display probability PA is a value included in an interval [0, 11. In a next step El of generation of random events, a hazard is generated for each sign included in a displayable image of the initial grid. . Thus, for the number 2, five hazards are generated, each of the hazards being specific to a sign that makes up the number. The hazard is chosen in the same range of values as the display probability PA, in this case in the interval [0, 11. It is intended to be compared to the display probability PA. In a next step E2 display, a current input grid is displayed on the screen. A sign of a displayable image included in the initial input grid is displayed in the current input grid if the hazard specific to this sign, generated during step E1, is less than the display probability PA. Of course, we understand that when the randomness specific to a sign is less than the probability of display, the sign is displayed in the current input grid at the same position as it occupies in the initial input grid generated. during the initial step E0. If the hazard is greater than the display probability, nothing is displayed in the sign location. The current input grid is displayed during a current time interval A ,, equal to the refresh time A. At the end of the current time interval A ,, the random generation steps E1 and the display E2 are repeated. . At each iteration, a new current input grid is thus displayed. It is understood that a sign that was displayed at the previous instant may not be displayed in this new entry grid, depending on the value of the hazard generated for the sign during this iteration. A succession of current entry grids is then displayed, each of the grids being displayed during a current period of time equal to the refresh time. A sign which forms a part of a displayable image is, or is not, displayed during this current time interval, according to the randomness of this sign generated during an iteration of the generation step El of hazards. Thus, during a current period of time A, only a portion of the important information that forms all the displayable images proposed for the entry of a password is displayed. This part is renewed at each time interval according to the probability of display and the generated randomness.
Le délai de rafraîchissement A' qui détermine la durée d'un intervalle de temps courant, et la probabilité d'affichage PA sont fixés préalablement et de telle manière que l'utilisateur a, grâce à un mécanisme de persistance rétinienne, une sensation de vision continue de l'information importante, alors qu'à un instant donné, seule une partie de l'information est présente dans une mémoire du terminal et affichée à l'écran. Ainsi, une capture d'écran à l'instant donné ne permet d'obtenir qu'une partie de l'information alors que l'utilisateur a l'impression de visualiser une information complète et en continu. Le procédé utilise la capacité de l'utilisateur à mémoriser une information ayant disparu grâce à la persistance rétinienne. La persistance rétinienne est la capacité de l'oeil à créer une continuité d'images alors que celles-ci sont en fait décomposées. Cela est dû au fait que les cellules de la rétine de l'oeil gardent en mémoire une image pendant environ un dixième de seconde, même après sa disparition. Une image reste ainsi « imprimée » sur la rétine pendant cette durée approximative avant que les cellules de la rétine ne redeviennent de nouveau sensibles à la lumière. Les paramètres de configuration sont choisis de telle façon que l'utilisateur perçoit visuellement et à tout moment la grille de saisie initiale, c'est-à-dire une grille de saisie complète, mais qu'une copie d'écran à un instant donné ne permet pas à une personne malveillante d'obtenir ou de deviner la grille de saisie complète. Des tests ont ainsi permis de déterminer un intervalle de valeurs optimal pour la probabilité d' affichage PA. On s'aperçoit en effet que plus la probabilité d' affichage est faible et plus il est difficile d'obtenir une copie d'écran significative dans le sens où cette copie se suffit à elle-même pour reconstituer facilement la grille de saisie initiale. La probabilité d'affichage PA est choisie de préférence dans l'intervalle [ 0,3 ; 0,6 1. Des valeurs proches des bornes de cet intervalle sont également acceptables. De même, le délai de rafraîchissement A est choisi de telle manière que l'impression visuelle pour l'utilisateur lors de l'affichage d'une grille de saisie est confortable. On considère que cette impression est confortable lorsque des clignotements de l'affichage sont réduits au minimum Dans ce cas l'utilisateur n' a aucun effort à faire pour visualiser les images affichables de la grille de saisie. Le délai de rafraîchissement A est de préférence choisi dans l'intervalle de valeurs [ 5 ms ; 40 ms 1. Des valeurs proches des bornes de cet intervalle sont également acceptables.The refresh time A 'which determines the duration of a current time interval, and the display probability PA are fixed beforehand and in such a way that the user has, thanks to a mechanism of retinal persistence, a sensation of vision. continues important information, while at a given moment, only part of the information is present in a memory of the terminal and displayed on the screen. Thus, a screen shot at the given moment only allows to obtain a part of the information while the user has the impression to visualize a complete and continuous information. The method utilizes the user's ability to memorize information that has disappeared due to retinal persistence. Retinal persistence is the ability of the eye to create a continuity of images while they are actually broken down. This is because cells in the retina of the eye keep an image in memory for about a tenth of a second, even after it disappears. An image remains "imprinted" on the retina during this approximate time before the retina cells become sensitive to light again. The configuration parameters are chosen in such a way that the user perceives visually and at any time the initial input grid, that is to say a complete input grid, but that a screen copy at a given moment does not allow an attacker to obtain or guess the complete entry grid. Tests have thus made it possible to determine an optimum range of values for the probability of PA display. It can be seen that the lower the probability of display, the more difficult it is to obtain a significant screen copy in the sense that this copy is self-sufficient for easily reconstructing the initial input grid. The display probability PA is preferably chosen in the range [0.3; 0.6 1. Values close to the limits of this range are also acceptable. Likewise, the refresh time A is chosen in such a way that the visual impression for the user when displaying an input grid is comfortable. It is considered that this impression is comfortable when flashes of the display are minimized In this case the user has no effort to make to view the displayable images of the input grid. The refresh time A is preferably selected in the range of values [5 ms; 40 ms 1. Values near the limits of this range are also acceptable.
Le mode de réalisation est décrit ici avec des signes. Bien sûr, il s'applique également au cas où des images affichables sont affichées dans la grille de saisie. Dans ce cas, une image affichable est composée d'un seul signe. Les images affichables sont par exemple des chiffres, des caractères alphanumériques, des images simples, des symboles simples, etc. Le procédé s'applique également à un cas où un signe est réduit à un point.The embodiment is described here with signs. Of course, it also applies in case displayable images are displayed in the input grid. In this case, a displayable image is composed of a single sign. The displayable images are for example numbers, alphanumeric characters, simple images, simple symbols, etc. The method also applies to a case where a sign is reduced to a point.
Dans un autre mode de réalisation, non représenté, il est ajouté un paramètre de couleur à un signe et éventuellement à un bruit. Dans ce cas, au cours de l'étape El de génération d'aléas, une couleur est associée de manière aléatoire à un signe. Si au cours de l'étape E2 d'affichage le signe est affiché, alors il l'est dans la couleur choisie. L' ajout d'un paramètre de couleur complexifie pour un attaquant l'analyse et le recoupement d'informations à partir de copies d'écran. Dans un autre mode de réalisation, une valeur de luminance est associée à un signe et éventuellement à un bruit. Dans ce cas, au cours de l'étape El de génération d'aléas, une valeur de luminance est choisie aléatoirement et associée à un signe. Si le signe est affiché lors de l'étape E2 d'affichage, alors il est affiché selon une intensité lumineuse conforme à la valeur de luminance. La valeur de luminance perturbe l'analyse par un attaquant de copies d'écran. Bien sûr dans une variante, une couleur et une valeur de luminance est associée à un signe. Dans l'exemple de réalisation décrit ici, une grille de saisie comprend les images affichables et éventuellement des emplacements vides. Ces emplacements restent vides lors de l'affichage de grilles de saisie courantes successives. Dans un autre mode de réalisation, décrit en relation avec la figure 2, du bruit est ajouté dans les grilles de saisie courantes. Un bruit est destiné à être affiché dans des emplacements vides d'une grille de saisie de manière à rendre encore plus complexe l'analyse de copies d'écran réalisées par un logiciel espion installé sur le terminal de l'utilisateur à l'insu de celui-ci. Un bruit est une image affichable ou l'équivalent d'un caractère espace. Dans ce dernier cas, un bruit affiché dans une grille de saisie courante correspond à un emplacement vide. Un bruit affichable est composé d'au moins un signe. Un signe peut être réduit à un point. On remarque qu'un signe de bruit ou un bruit sont comparables à un signe ou une image affichable. Ils diffèrent uniquement dans ce pourquoi ils sont utilisés : une image affichable ou un signe sont destinés à permettre à l'utilisateur de saisir les composantes de son mot de passe. Le signe de bruit ou le bruit sont destinés à perturber l'affichage à un instant donné, afin qu'un attaquant qui obtiendrait une copie d'écran à cet instant ne puisse distinguer un emplacement vide dans la grille de saisie d'un emplacement dédié à la saisie. Dans une étape EO' de configuration, une grille de saisie initiale est générée. Cette grille comprend au moins un emplacement vide. De manière comparable à l'étape EO du mode de réalisation décrit précédemment, il est choisi un délai de rafraîchissement A et une probabilité d'affichage PA. Il est choisi également une probabilité d'affichage d'un bruit PB. La probabilité d'affichage d'un bruit PB n'est pertinente que pour les emplacements vides de la grille de saisie initiale. La probabilité d'affichage d'un bruit PB est destinée à déterminer si un signe de bruit doit ou non être affiché dans une grille de saisie courante présentée à l'écran pendant un intervalle de temps courant, plus précisément dans un emplacement initialement vide de la grille de saisie initiale. De manière classique, la probabilité de bruit PB est une valeur comprise dans l'intervalle [0, 11.In another embodiment, not shown, a color parameter is added to a sign and possibly to a noise. In this case, during the random generation step El, a color is randomly associated with a sign. If during the display step E2 the sign is displayed, then it is displayed in the chosen color. Adding a color parameter makes it more difficult for an attacker to analyze and cross-check information from screen shots. In another embodiment, a luminance value is associated with a sign and possibly with a noise. In this case, during the random generation step El, a luminance value is randomly selected and associated with a sign. If the sign is displayed during the display step E2, then it is displayed according to a luminous intensity corresponding to the luminance value. The luminance value disrupts an attacker's analysis of screenshots. Of course, in one variant, a color and a luminance value is associated with a sign. In the embodiment described here, an input grid comprises the displayable images and possibly empty locations. These slots remain empty when displaying successive current entry grids. In another embodiment, described in connection with FIG. 2, noise is added to the current input grids. A noise is intended to be displayed in empty slots of an input grid so as to make even more complex the analysis of screenshots made by spyware installed on the user's terminal without the knowledge of this one. A noise is a displayable image or the equivalent of a space character. In the latter case, a noise displayed in a current input grid corresponds to an empty slot. A displayable sound is composed of at least one sign. A sign can be reduced to a point. Note that a noise sign or noise is comparable to a sign or displayable image. They differ only in what they are used for: a displayable image or sign is intended to allow the user to enter the components of his password. The noise sign or noise is intended to disrupt the display at a given moment, so that an attacker who gets a screenshot at this time can not distinguish an empty slot in the input grid of a dedicated location at the seizure. In a configuration step EO ', an initial input grid is generated. This grid comprises at least one empty slot. In a manner comparable to step EO of the embodiment described above, a refresh delay A and a display probability PA are chosen. It is also chosen a probability of displaying a noise PB. The probability of displaying a PB noise is only relevant for the empty locations of the initial input grid. The probability of displaying a noise PB is intended to determine whether or not a noise sign should be displayed in a current input grid presented on the screen during a current time interval, specifically in a location initially empty of the initial input grid. Typically, the noise probability PB is a value in the range [0, 11.
Dans une étape suivante El' de génération d'aléas, identique à l'étape El du mode précédemment décrit, il est généré un aléa propre à chaque signe compris dans une image affichable de la grille de saisie initiale. Dans une étape E2' de génération de bruits, il est choisi de manière aléatoire pour chaque emplacement vide un bruit dans un ensemble constitué des bruits qui forment les images affichables de la grille de saisie initiale et du caractère espace. Dans une étape E3' de génération d'aléas de bruit, il est généré un aléa propre à chacun des signes qui composent un bruit. Un aléa propre à un signe de bruit est choisi dans le même intervalle de valeurs que la probabilité d'affichage d'un bruit PB, en l'espèce ici dans l'intervalle [0, 11. Bien sûr, l'étape El' peut être exécutée après les étapes E2' et E' 3, voire entre les étapes E2' et E3'. Dans une étape E4' d'affichage, une grille de saisie bruitée est affichée à l'écran. Bien sûr, on comprend qu'une grille de saisie bruitée est une grille de saisie dans laquelle un signe de bruit est affiché dans un emplacement vide. Un signe d'une image affichable comprise dans la grille de saisie initiale est affiché dans la grille de saisie bruitée courante si l'aléa propre à ce signe, généré au cours de l'étape El', est inférieur à la probabilité d'affichage PA. Le signe est affiché dans la grille de saisie courante à la même position que celle qu'il occupe dans la grille de saisie initiale générée au cours de l'étape initiale E0'. En d'autres termes, cet affichage est comparable à l'étape d'affichage E2 du premier mode de réalisation. Un signe de bruit généré au cours de l'étape E2' pour un emplacement vide déterminé est affiché si l'aléa propre au bruit est inférieur à la probabilité d'affichage du bruit PB. Il est bien sûr affiché dans l'emplacement pour lequel il a été choisi au cours de l'étape E2'. La grille de saisie bruitée courante est affichée pendant un intervalle de temps courant At' égal au délai de rafraîchissement A. Au terme de l'intervalle de temps courant At' les étapes El' de génération d'aléas, E2' de génération de bruits, E3' de génération d'aléas propres aux bruits et E4' d'affichage sont réitérées. A chaque itération, une nouvelle grille de saisie courante est donc affichée. On remarque qu'un nouveau bruit est généré aléatoirement à chacune des itérations de ces étapes. Un signe de bruit qui compose le signe de bruit est ou n'est pas affiché, selon la comparaison de l'aléa propre au bruit à la probabilité d'affichage d'un bruit PB. En tout état de cause, il y a une probabilité importante qu'un signe de bruit affiché dans deux grilles de saisie courantes successives soit différent puisque le signe de bruit est généré pour chaque itération de ces étapes. Puisque les signes de bruits successifs affichés dans un emplacement vides sont a priori différents d'une grille de saisie courante à une autre, l'oeil perçoit un clignotement dans ces emplacements. Par contre, les signes de la grille de saisie initiale apparaissent à l'utilisateur comme une information affichée en continue. La vision de l'utilisateur n'est donc pas perturbée par les signes de bruits qui s'affichent. Par contre, un attaquant qui recevrait des copies d'écran réalisées à des instants différents serait perturbé par ces signes de bruits et aurait beaucoup de mal, en recoupant les informations affichées récupérées de plusieurs copies d'écran à déterminer quel(s) signes font partie de la grille de saisie initiale. Dans ce mode de réalisation, l'espionnage par copie d'écran est rendu très complexe et nécessite des moyens d'analyse importants. La probabilité d'affichage d'un bruit PB est une valeur comprise dans l'intervalle [0, 11. Elle est cependant de préférence supérieure à zéro. En effet, dans le cas où la probabilité d'affichage du bruit est nulle, un bruit n'est jamais affiché dans une grille de saisie courante. On remarque par ailleurs que plus la probabilité d'affichage d'un bruit PB est élevée et plus il y a de chance qu'un signe soit toujours affiché dans un emplacement dédié au bruit. Plus la probabilité d'affichage d'un bruit PB diminue et plus il y a de chances de voir des emplacements vides dans les grilles de saisie courantes. Cela accentue pour l'utilisateur l'impression de clignotement dans certains emplacements de la grille de saisie. Il y a donc peu d'ambiguïté qu'il confonde un bruit avec une image affichable sélectionnable comme composante de son mot de passe. Le deuxième mode de réalisation est décrit ici avec des signes de bruit. Bien sûr, il s'applique également à des bruits comparables à des images affichables. Dans ce cas, une image affichable et un bruit sont composés d'un seul signe. Les images affichables et les bruits sont par exemple des chiffres, des caractères alphanumériques, des images simples, des symboles simples, etc. Le procédé s'applique également à un cas où un signe est réduit à un point. Dans un autre exemple de réalisation, il est associé à un signe et à un signe de bruit un paramètre de couleur et/ou un paramètre de luminance. La valeur des paramètres de couleur et/ou de luminance sont choisies aléatoirement pour les signes et pour les signes de bruit au cours des étapes El' de génération d'aléas et E3' de génération d'aléas de bruit. Le sparamètres de couleur et/ou de luminance influent l'affichage des signes et des signes de bruit au cours de l'étape E4' d'affichage. Dans un autre mode de réalisation, applicable à l'affichage d'une grille bruitée et d'une grille non bruitée, le positionnement de la grille peut être soumis à un mouvement brownien de quelques pixels. En d'autres termes entre un intervalle de temps donné et un intervalle de temps suivant, l'affichage des signes dans la grille subit un léger déplacement. Un mouvement brownien est un mouvement aléatoire et statistiquement, le déplacement observé est nul. Vu de l'utilisateur, un tel mouvement n'est pas perceptible ou en tout état de cause, ne perturbe pas l'utilisateur. Par contre, un tel déplacement est perceptible sur des copies d'écran successives et perturbe l'analyse et le recoupement d'informations par un attaquant.In a next step El 'of random generation, identical to step E1 of the previously described mode, a randomness is generated for each sign included in a displayable image of the initial input grid. In a noise generation step E2 ', a noise is randomly selected for each empty location in a set consisting of the noises which form the displayable images of the initial input grid and the space character. In a step E3 'noise noise generation, it generates a hazard specific to each of the signs that make up a noise. A hazard specific to a noise sign is chosen in the same range of values as the probability of displaying a noise PB, in this case here in the interval [0, 11. Of course, the step El ' can be executed after the steps E2 'and E' 3, or even between the steps E2 'and E3'. In a display step E4 ', a noisy input grid is displayed on the screen. Of course, it is understood that a noisy input grid is an input grid in which a noise sign is displayed in an empty slot. A sign of a displayable image included in the initial input grid is displayed in the current noisy input grid if the hazard specific to this sign, generated during step E ', is less than the display probability. PA. The sign is displayed in the current input grid in the same position as it occupies in the initial input grid generated during the initial step E0 '. In other words, this display is comparable to the display step E2 of the first embodiment. A noise sign generated in step E2 'for a determined empty location is displayed if the noise-specific randomness is less than the noise display probability PB. It is of course displayed in the location for which it was chosen during the step E2 '. The current noisy input grid is displayed during a current time interval At 'equal to the refresh delay A. At the end of the current time interval At' the noise generating steps E ', E2' of generating noise , E3 'generating noise-specific hazards and E4' display are reiterated. At each iteration, a new current input grid is thus displayed. Note that a new noise is randomly generated at each iteration of these steps. A noise sign that makes up the noise sign is or is not displayed, depending on the comparison of the noise-specific hazard with the probability of displaying a noise PB. In any case, there is a significant probability that a sign of noise displayed in two successive current grids is different since the noise sign is generated for each iteration of these steps. Since the signs of successive noises displayed in an empty space are a priori different from one current input grid to another, the eye perceives a flickering in these locations. On the other hand, the signs of the initial input grid appear to the user as information displayed continuously. The view of the user is not disturbed by the signs of noises that are displayed. On the other hand, an attacker who receives screen shots made at different times would be disturbed by these signs of noises and would have a lot of trouble, by cross-checking the displayed information retrieved from several screenshots to determine what signs are part of the initial input grid. In this embodiment, snapshot espionage is made very complex and requires significant analysis means. The probability of displaying a noise PB is a value in the interval [0, 11. It is however preferably greater than zero. Indeed, in the case where the noise display probability is zero, a noise is never displayed in a current input grid. Note also that the higher the probability of displaying a noise PB is higher and there is a chance that a sign is always displayed in a location dedicated to noise. The lower the likelihood of displaying a PB noise, the more likely it is to see empty slots in common input grids. This emphasizes for the user the impression of blinking in certain places of the input grid. There is therefore little ambiguity that it confuses a sound with a selectable displayable image as part of its password. The second embodiment is described here with noise signs. Of course, it also applies to sounds comparable to displayable images. In this case, a displayable image and a noise are composed of a single sign. Displayable images and noises are, for example, numbers, alphanumeric characters, simple images, simple symbols, etc. The method also applies to a case where a sign is reduced to a point. In another embodiment, it is associated with a sign and a noise sign a color parameter and / or a luminance parameter. The value of the color and / or luminance parameters are randomly chosen for the signs and for the signs of noise during the stages E 'of generation of randomities and E3' of generating noise bumps. The color and / or luminance parameters affect the display of the signs and signs of noise during the display step E4 '. In another embodiment, applicable to the display of a noisy grid and a noiseless grid, the positioning of the grid may be subjected to a Brownian motion of a few pixels. In other words, between a given time interval and a subsequent time interval, the display of the signs in the grid undergoes a slight displacement. A Brownian motion is a random motion and statistically, the observed motion is zero. Seen from the user, such a movement is not noticeable or in any event, does not disturb the user. On the other hand, such a displacement is perceptible on successive screenshots and disturbs the analysis and cross-checking of information by an attacker.
Afin d'illustrer le procédé d'affichage de grilles de saisie d'un mot de passe décrit précédemment, des exemples de grilles de saisie sont présentées aux figures 3a et 3b. Un premier exemple de grille de saisie initiale et de grilles de saisie courantes affichées pendant des intervalles de temps différents Ti, T2, T3, T4 est fourni avec la figure 3a. Les grilles de saisie courantes gal, gal, ga3, ga4 comprennent des images affichables. Elles ont été obtenues au moyen d'une copie d'écran. Les paramètres de configuration choisis pour cet affichage sont : - taux de rafraîchissement A, : 10 ms, - probabilité d'affichage PA : 0,6, - probabilité de bruit PB : 0,75. La grille de saisie initiale ga0 comprend des emplacements vides, par exemple les deux premiers emplacements de la première ligne. L'affichage est bruité. On remarque ainsi que les images affichables représentatives d'un bruit varient d'un affichage à un autre. Par exemple, les emplacements situés sur la première ligne et les deux premières colonnes prennent lors des affichages successifs les valeurs (6, 1), ( , 0), (6, 2) et ( , 0). Le phénomène de persistance rétinienne permettrait peut-être de croire que les chiffres 6 et 0 sont respectivement en première ligne, première colonne et première ligne deuxième colonne. Or, s'agissant de bruit, il est fort probable que sur des copies d'écran suivantes d'autres chiffres apparaissent à ces positions. Ce bruit peut donc induire un attaquant en erreur et lui faire reconstituer une grille de saisie erronée à partir de peu de copies d'écran. Par ailleurs, il n'est pas évident, à partir des copies d'écran correspondant aux grilles courantes gal, gal, ga3, ga4, même au vu de la grille de saisie initiale ga0 de déterminer les chiffres qui font partie de la grille de saisie initiale. Même si on devine que le chiffre «4 » figure sur la deuxième ligne, deuxième colonne, puisqu'il apparaît à cette position dans trois grilles de saisie courantes, l'exercice n'est pas si facile pour d'autres chiffres, par exemple le chiffre « 3 ». Ainsi, attaquant doit, pour essayer d'obtenir un code secret d'utilisateur, faire une certaine quantité de copies d'écran et à partir de ces copies mettre en oeuvre un algorithme particulier afin de reconstituer la grille de saisie initiale. Cela complexifie la technique d'attaque actuelle qui nécessite peu de copies d'écran.In order to illustrate the method of displaying password entry grids described above, examples of grids are presented in FIGS. 3a and 3b. A first example of an initial input grid and of common input grids displayed during different time intervals T1, T2, T3, T4 is provided in FIG. 3a. The current grids gal, gal, ga3, ga4 include displayable images. They were obtained by means of a screenshot. The configuration parameters selected for this display are: - refresh rate A,: 10 ms, - display probability PA: 0.6, - noise probability PB: 0.75. The initial input grid ga0 includes empty locations, for example the first two locations of the first line. The display is noisy. It can thus be noted that the displayable images representative of a noise vary from one display to another. For example, the locations on the first line and the first two columns take the successive values (6, 1), (, 0), (6, 2) and (, 0). The phenomenon of retinal persistence might suggest that the numbers 6 and 0 are respectively in the first line, first column and first line second column. However, in the case of noise, it is very likely that on subsequent screen shots other figures appear at these positions. This noise can thus induce an attacker in error and make him reconstruct an erroneous input grid from a few screen shots. Moreover, it is not obvious, from the screenshots corresponding to the current grids gal, gal, ga3, ga4, even in view of the initial input grid ga0 to determine the figures that are part of the grid of initial entry. Even if we guess that the number "4" appears on the second line, second column, since it appears at this position in three current grids, the exercise is not so easy for other figures, for example the number "3". Thus, attacker must, to try to obtain a user secret code, make a certain amount of screenshots and from these copies implement a particular algorithm in order to reconstruct the initial input grid. This complicates the current attack technique that requires few screenshots.
Un deuxième exemple de grille de saisie initiale et de grilles de saisie courantes affichées pendant des intervalles de temps différents est fourni avec la figure 3b. Les grilles de saisie courantes gbl, gb2, gb3, gb4 comprennent des signes en tant que parties d'images affichables. Elles ont été obtenues au moyen d'une copie d'écran à des instants Ti, T2, T3, T4 différents. Elles sont issues de la grille de saisie initiale gb0. Les paramètres de configuration choisis pour cet affichage sont : - taux de rafraîchissement A, : 10 ms, - probabilité d'affichage PA : 0,6, - probabilité de bruit PB : 0,1. La grille de saisie initiale gb0 comprend des emplacements vides, par exemple les trois premiers emplacements de la première ligne. L'affichage est bruité et les images sont constituées de signes, ici des segments de droite. Avec une telle représentation, le chiffre « 4 » est formé de trois segments, le chiffre « 5 » de cinq segments. D'emblée, on remarque qu'il est très difficile, à partir d'une copie d'écran de deviner des chiffres. On visualise tout au plus le chiffre « 4 » dans la grille gal, le chiffre « 9 » dans le grille gb2 et le chiffre « 5 » dans la grille gal Par contre, si l'on essaie de faire un recoupement entre toutes les grilles de saisie, on ne peut pas confirmer que tous ces chiffres sont bien ceux qui font probablement partie de la grille de saisie initiale gb0 et ce, même en disposant de la grille de saisie initiale. Un attaquant qui ne dispose pas de la grille de saisie initiale gb0, aura donc des difficultés à reconstituer la grille de saisie initiale à partir de copies d'écran. On remarque que quatre grilles de saisies sont largement insuffisantes pour reconstituer tout ou partie de la grille de saisie initiale. Les techniques d'attaque actuellement disponibles pour épier un écran et les actions de l'utilisateur afin d'obtenir un mot de passe qu'il saisit ne permettent pas d'obtenir ces informations lorsque le procédé décrit ici est mis en oeuvre. Ces techniques qui reposent sur une copie unique d'écran ne permettent d'obtenir qu'une bribe d'information, non significative.A second example of an initial entry grid and common entry grids displayed during different time intervals is provided in Figure 3b. The current input grids gbl, gb2, gb3, gb4 include signs as parts of displayable images. They were obtained by means of a screen copy at different times Ti, T2, T3, T4. They come from the initial input grid gb0. The configuration parameters chosen for this display are: - refresh rate A,: 10 ms, - display probability PA: 0.6, - noise probability PB: 0.1. The initial input grid gb0 includes empty locations, for example the first three locations of the first line. The display is noisy and the images consist of signs, here segments of the right. With such a representation, the number "4" is formed of three segments, the number "5" of five segments. From the outset, we notice that it is very difficult, from a screenshot to guess numbers. At most we can see the number "4" in the grid gal, the number "9" in the grid gb2 and the number "5" in the grid gal On the other hand, if we try to make an overlap between all the grids input, we can not confirm that all these figures are those that are probably part of the initial input grid gb0 and this, even with the initial input grid. An attacker who does not have the initial input grid gb0, will therefore have difficulty in reconstructing the initial input grid from screenshots. Note that four grids of seizures are largely insufficient to reconstruct all or part of the initial input grid. The attack techniques currently available to spy on a screen and the actions of the user to obtain a password that it captures do not provide this information when the method described here is implemented. These techniques, which are based on a single screen copy, make it possible to obtain only a little bit of information, which is not significant.
Un terminal utilisateur 40, selon un exemple de réalisation, va maintenant être décrit en relation avec la figure 4. Le terminal utilisateur 40 est destiné à afficher des grilles de saisie de mot de passe afin que l'utilisateur sélectionne les composantes de son mot de passe. Une telle grille est affichée lors de l'accès à un service sensible qui nécessite une authentification de l'utilisateur. Le terminal utilisateur 40 est un dispositif informatique, par exemple un ordinateur personnel, un terminal mobile de type smartphone, une tablette numérique, etc. Le terminal peut également être une borne de saisie d'une enseigne, la borne étant reliée à un serveur de traitement. Le terminal peut communiquer avec un serveur distant pour accéder à un service. Le terminal utilisateur 40 comprend des moyens d'affichage 401, destinés à afficher les grilles de saisie à l'attention de l'utilisateur. Les moyens d'affichage 401 sont par exemple un écran. Dans un exemple de réalisation, l'écran est un écran tactile qui constitue également des moyens de saisie. Une grille de saisie d'un mot de passe, comprend une pluralité d'images affichables.A user terminal 40, according to an exemplary embodiment, will now be described in relation to FIG. 4. The user terminal 40 is intended to display password entry grids so that the user selects the components of his password. past. Such a grid is displayed when accessing a sensitive service that requires authentication of the user. The user terminal 40 is a computing device, for example a personal computer, a mobile terminal of the smartphone type, a digital tablet, etc. The terminal can also be a terminal for entering a sign, the terminal being connected to a processing server. The terminal can communicate with a remote server to access a service. The user terminal 40 includes display means 401 for displaying the input grids to the user. The display means 401 are for example a screen. In an exemplary embodiment, the screen is a touch screen which also constitutes input means. A password entry grid includes a plurality of displayable images.
Une image affichable est une image visible, par exemple un caractère alphanumérique, tel une lettre ou un chiffre, un caractère de ponctuation, une image simple, c'est-à-dire non composée de plusieurs images simples, un symbole simple, etc. Dans un exemple de réalisation, où le mot de passe à saisir est un code PIN, les images affichables sont des chiffres. On considère par ailleurs que les images affichables sont composées d'au moins un signe. Typiquement, un chiffre peut être composé de signes de type segments verticaux et/ou horizontaux. Par exemple, le chiffre « 2 » peut être affiché au moyen de trois segments horizontaux et deux segments verticaux. Dans un exemple de réalisation un signe peut être réduit à un point. Le terminal utilisateur 40 comprend : - une unité de traitement ou processeur 402, ou "CPU" (de l'anglais "Central Processing Unit"), destiné à charger des instructions en mémoire, à les exécuter, à effectuer des opérations ; - un ensemble de mémoires, dont une mémoire volatile 403, ou "RAM" (pour "Random Access Memory") utilisée pour exécuter des instructions de code, stocker des variables, etc., et une mémoire de stockage 404 de type « EEPROM » (de l'anglais « Electrically Erasable Programmable Read Only Memory »). La mémoire de stockage 404 est en particulier agencée pour mémoriser le programme d'affichage d'une grille de saisie. La mémoire de stockage est également agencée pour mémoriser un ou des mots de passe de l'utilisateur, utilisés lors de l'accès de l'utilisateur à un ou des services sensibles ; Le terminal utilisateur 40 comprend également : - des premiers moyens de génération 405, agencés pour générer la grille de saisie initiale, les images affichables étant positionnées de manière aléatoire dans la grille. La grille de saisie initiale est stockée en mémoire vive 403. Une grille de saisie courante, obtenue à partir de la grille de saisie initiale et affichée pendant un intervalle de temps At est destinée à n' afficher qu'une partie de la grille de saisie initiale. Les premiers moyens de génération 405 sont agencés pour mettre en oeuvre les étapes E0, E0' du procédé d'affichage d'une grille de saisie décrit précédemment ; - des deuxièmes moyens de génération 406, agencés pour générer un aléa propre au signe de l'image. Les deuxièmes moyens de génération 406 sont agencés pour mettre en oeuvre les étapes El et El' du procédé décrit précédemment ; - les moyens d' affichage 401, agencés pour afficher le signe à une position obtenue pour l'image à partie de la grille de saisie, lorsque l' aléa propre au signe est inférieur à une probabilité d'affichage. Dans un mode de réalisation, les moyens d'affichage 401 sont également agencés pour afficher les signes de bruit. Les moyens d'affichage sont agencés pour mettre en oeuvre les étapes E2 et E4' du procédé décrit précédemment ; - des moyens d'itération 407, agencés pour itérer la génération de l' aléa et l' affichage du signe à des instants successifs associés à un délai de rafraîchissement. Les moyens d'itération sont agencés pour itérer les étapes El et E2 du procédé décrit précédemment. Dans un mode de réalisation (non représenté), le terminal 40 comprend également des moyens de génération de bruits, agencés pour générer de manière aléatoire des signes de bruit dans les emplacements vides de la grille de saisie initiale. Dans ce mode, il comprend également des moyens de génération d'aléas de bruit agencés pour générer un aléa de bruit propre à chaque signe de bruit. Les moyens d'affichage 401, les premiers moyens de génération 405, les deuxièmes moyens de génération 406 et les moyens d'itération sont de préférence des modules logiciels comprenant des instructions logicielles pour faire exécuter les étapes du procédé d'authentification précédemment décrit. L'invention concerne donc aussi : - un programme d'ordinateur comportant des instructions pour la mise en oeuvre du procédé d'affichage d'une grille de saisie d'un mot de passe tel que décrit précédemment lorsque ce programme est exécuté par un processeur du terminal utilisateur ; - un support d'enregistrement lisible sur lequel est enregistré le programme d'ordinateur décrit ci-dessus. Les modules logiciels peuvent être stockés dans, ou transmis par un support de données.A displayable image is a visible image, for example an alphanumeric character, such as a letter or a number, a punctuation character, a simple image, that is to say not composed of several simple images, a simple symbol, etc. In an exemplary embodiment, where the password to be entered is a PIN code, the displayable images are numbers. It is further considered that the displayable images are composed of at least one sign. Typically, a number may be composed of vertical and / or horizontal segment type signs. For example, the number "2" can be displayed using three horizontal segments and two vertical segments. In an exemplary embodiment, a sign may be reduced to a point. The user terminal 40 comprises: a processing unit or processor 402, or "CPU" (of the "Central Processing Unit"), intended to load instructions in memory, to execute them, to perform operations; a set of memories, including a volatile memory 403, or "RAM" (for "Random Access Memory") used to execute code instructions, store variables, etc., and a storage memory 404 of "EEPROM" type (English "Electrically Erasable Programmable Read Only Memory"). The storage memory 404 is in particular arranged to store the display program of an input grid. The storage memory is also arranged to store one or more passwords of the user used when the user accesses one or more sensitive services; The user terminal 40 also comprises: first generation means 405, arranged to generate the initial input grid, the displayable images being positioned randomly in the grid. The initial input grid is stored in random access memory 403. A current input grid, obtained from the initial input grid and displayed during a time interval At, is intended to display only part of the input grid. initial. The first generation means 405 are arranged to implement the steps E0, E0 'of the input grid display method described above; second generation means 406, arranged to generate a hazard specific to the sign of the image. The second generation means 406 are arranged to implement steps E1 and E1 'of the method described above; - The display means 401, arranged to display the sign at a position obtained for the image from the input grid, when the randomness of the sign is less than a display probability. In one embodiment, the display means 401 are also arranged to display the noise signs. The display means are arranged to implement steps E2 and E4 'of the method described above; - Iteration means 407, arranged to iterate the generation of the hazard and the display of the sign at successive times associated with a refresh time. The iteration means are arranged to iterate the steps E1 and E2 of the method described above. In one embodiment (not shown), the terminal 40 also comprises noise generation means, arranged to randomly generate noise signs in the empty locations of the initial input grid. In this mode, it also comprises noise noise generation means arranged to generate a noise hazard specific to each noise sign. The display means 401, the first generation means 405, the second generation means 406 and the iteration means are preferably software modules comprising software instructions for executing the steps of the previously described authentication method. The invention therefore also relates to: a computer program comprising instructions for implementing the method for displaying a password entry grid as described above when this program is executed by a processor the user terminal; a readable recording medium on which is recorded the computer program described above. The software modules can be stored in, or transmitted by, a data carrier.
Celui-ci peut être un support matériel de stockage, par exemple un CD-ROM, une disquette magnétique ou un disque dur, ou bien un support de transmission tel qu'un signal ou un réseau de télécommunication.25This may be a hardware storage medium, for example a CD-ROM, a magnetic diskette or a hard disk, or a transmission medium such as a signal or a telecommunication network.
Claims (11)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR1456222A FR3023042A1 (en) | 2014-06-30 | 2014-06-30 | METHOD OF DISPLAYING A GRAPH OF ENTERING A PASSWORD ON A USER TERMINAL |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR1456222A FR3023042A1 (en) | 2014-06-30 | 2014-06-30 | METHOD OF DISPLAYING A GRAPH OF ENTERING A PASSWORD ON A USER TERMINAL |
Publications (1)
Publication Number | Publication Date |
---|---|
FR3023042A1 true FR3023042A1 (en) | 2016-01-01 |
Family
ID=51659829
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
FR1456222A Withdrawn FR3023042A1 (en) | 2014-06-30 | 2014-06-30 | METHOD OF DISPLAYING A GRAPH OF ENTERING A PASSWORD ON A USER TERMINAL |
Country Status (1)
Country | Link |
---|---|
FR (1) | FR3023042A1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3474171A1 (en) * | 2017-10-23 | 2019-04-24 | Ingenico Group | Method for processing display data, device and corresponding program |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2023333A2 (en) * | 2007-08-07 | 2009-02-11 | Hitachi-Omuron Terminal Solutions, Corp. | Converters for screen images and screen information |
US20140040633A1 (en) * | 2011-02-11 | 2014-02-06 | Jean-Luc Leleu | Secure transaction method from a non-secure terminal |
-
2014
- 2014-06-30 FR FR1456222A patent/FR3023042A1/en not_active Withdrawn
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2023333A2 (en) * | 2007-08-07 | 2009-02-11 | Hitachi-Omuron Terminal Solutions, Corp. | Converters for screen images and screen information |
US20140040633A1 (en) * | 2011-02-11 | 2014-02-06 | Jean-Luc Leleu | Secure transaction method from a non-secure terminal |
Non-Patent Citations (2)
Title |
---|
"PRIVACY-ENHANCED DISPLAYS BY TIME-MASKING IMAGES", 1 January 2002 (2002-01-01), XP055002900, Retrieved from the Internet <URL:http://www.merl.com/papers/docs/TR2002-11.pdf> [retrieved on 20110715] * |
MONI NAOR ET AL: "Visual Cryptography II: Improving the Contrast Via the Cover Base", INTERNATIONAL ASSOCIATION FOR CRYPTOLOGIC RESEARCH,, 26 August 2000 (2000-08-26), pages 1 - 11, XP061000006 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3474171A1 (en) * | 2017-10-23 | 2019-04-24 | Ingenico Group | Method for processing display data, device and corresponding program |
FR3072818A1 (en) * | 2017-10-23 | 2019-04-26 | Ingenico Group | METHOD FOR PROCESSING DISPLAY DATA, DEVICE AND PROGRAM THEREOF |
US10755377B2 (en) | 2017-10-23 | 2020-08-25 | Ingenico Group | Method for processing display data, corresponding device and program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11356479B2 (en) | Systems and methods for takedown of counterfeit websites | |
US20220156404A1 (en) | Early data breach detection | |
US8966614B2 (en) | Systems, methods, and computer program products for providing video-passwords for user authentication | |
US20170085587A1 (en) | Device, method, and system of generating fraud-alerts for cyber-attacks | |
CN107087235A (en) | Media content recommendations method, server and client | |
US11361068B2 (en) | Securing passwords by using dummy characters | |
US9203826B1 (en) | Authentication based on peer attestation | |
US20180069860A1 (en) | Data transmission using dynamically rendered message content prestidigitation | |
US11863550B2 (en) | Data aggregation using a limited-use code | |
EP2806346A1 (en) | Method for generating at least one portion of a virtual keyboard, electronic terminal and corresponding computer program product | |
Pfeffer et al. | Replication: Stories as informal lessons about security | |
US9258318B2 (en) | Systems and methods for informing users about applications available for download | |
CA2877001A1 (en) | Method for confidential data input on a terminal | |
Wilson et al. | A case study for mobile device forensics tools | |
La Morgia et al. | Tgdataset: a collection of over one hundred thousand telegram channels | |
Laperdrix | Browser fingerprinting: Exploring device diversity to augment authentification and build client-side countermeasures | |
Yeung et al. | Graphical password: Shoulder-surfing resistant using falsification | |
FR3023042A1 (en) | METHOD OF DISPLAYING A GRAPH OF ENTERING A PASSWORD ON A USER TERMINAL | |
EP3924806A1 (en) | Method for controlling a computer device for entering a personal code | |
WO2017220899A1 (en) | Method for authenticating with a password comprising a salt | |
Zujevs | Authentication by graphical passwords method ‘hope’ | |
Alotaibi et al. | A novel Taxonomy for mobile applications data | |
Day | Security in the Digital World: For the home user, parent, consumer and home office | |
EP3803813B1 (en) | Device and method for secure identification of a user | |
CN112181556A (en) | Terminal control processing method and device, electronic equipment and storage medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PLFP | Fee payment |
Year of fee payment: 2 |
|
PLSC | Publication of the preliminary search report |
Effective date: 20160101 |
|
ST | Notification of lapse |
Effective date: 20170228 |