FR3105482A1 - Procédé d’obtention de mot de passe pour l’accès à un service - Google Patents

Procédé d’obtention de mot de passe pour l’accès à un service Download PDF

Info

Publication number
FR3105482A1
FR3105482A1 FR1914744A FR1914744A FR3105482A1 FR 3105482 A1 FR3105482 A1 FR 3105482A1 FR 1914744 A FR1914744 A FR 1914744A FR 1914744 A FR1914744 A FR 1914744A FR 3105482 A1 FR3105482 A1 FR 3105482A1
Authority
FR
France
Prior art keywords
terminal
password
user
service
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR1914744A
Other languages
English (en)
Other versions
FR3105482B1 (fr
Inventor
Patrick Kirschbaum
Sylvie GASPAR
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
Orange SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange SA filed Critical Orange SA
Priority to FR1914744A priority Critical patent/FR3105482B1/fr
Publication of FR3105482A1 publication Critical patent/FR3105482A1/fr
Application granted granted Critical
Publication of FR3105482B1 publication Critical patent/FR3105482B1/fr
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Telephonic Communication Services (AREA)

Abstract

L’invention propose un procédé d’obtention d’au moins un mot de passe pour accéder à un service à partir d’un premier terminal (10), le procédé comprenant les étapes de : - envoi (100), depuis le premier terminal (10), d’une requête (REQ) d’authentification d’un utilisateur auprès d’un deuxième terminal (20), la requête d’authentification commandant une authentification de l’utilisateur par le deuxième terminal ;- obtention, en réponse à la requête d’authentification, d’un mot de passe (MDP) pour le service considéré si le deuxième terminal a authentifié l’utilisateur.L’invention propose également un premier terminal, un deuxième terminal, et un gestionnaire de mot de passe pour la mise en œuvre de ce procédé.

Description

Procédé d’obtention de mot de passe pour l’accès à un service
L’invention concerne un procédé d’obtention d’au moins un mot de passe pour accéder à un service hébergé sur un serveur distant. Elle trouve une application intéressante dans la sécurisation de l’accès à des services distants.
Il est connu pour un utilisateur souhaitant accéder à un service, de s’identifier auprès de ce service en fournissant un identifiant et un mot de passe, convenus préalablement entre l’utilisateur et le service lors d’une inscription de l’utilisateur auprès du service.
La multiplication des services soumis à contrôle d’accès nécessite pour l’utilisateur de mémoriser un nombre de plus en plus important de mots de passe. Des logiciels, appelés gestionnaires de mots de passe, ont ainsi été développés afin d’aider l’utilisateur dans la gestion sécurisée de ses mots de passe. Par exemple, un tel logiciel permet de mémoriser sur un dispositif de l’utilisateur une liste chiffrée comprenant l’ensemble des mots de passe de l’utilisateur en lien avec les services correspondants.
Pour accéder à un mot de passe enregistré dans la liste, l’utilisateur doit fournir un mot de passe associé à la liste. Ce système présente l’avantage que l’utilisateur n’a plus qu’à mémoriser un seul mot de passe. Mais dans ce cas, il en résulte un risque sur la sécurité des mots de passe stockés dans la liste puisque la seule connaissance du mot de passe associé à la liste suffit pour accéder à l’ensemble des mots de passe qui sont stockés dans la liste. De plus, ce mot de passe doit être suffisamment long et complexe pour être sûr, mais sa saisie et sa mémorisation ne doivent pas être rédhibitoires pour l’utilisateur.
Des gestionnaires de mots de passe ont également été développés spécifiquement pour les téléphones mobiles pourvus de moyens de déverrouillage par capture d’empreinte digitale, et qui permettent l’accès à la liste des mots de passe par l’acquisition de l’empreinte digitale de l’utilisateur et la comparaison à une référence pré-enregistrée. Ces solutions ne sont cependant pas applicables quand le terminal qui est utilisé pour accéder à un service est dépourvu de tels moyens de capture d’empreinte digitale, comme c’est le cas pour les ordinateurs personnels, fixes ou portables.
Résumé
Il existe donc un besoin pour une solution sûre et facilitant néanmoins l’accès à un service depuis un terminal de type ordinateur fixe ou portable ne disposant pas de moyens de capture d’empreinte digitale.
A cet égard l’invention a pour objet un procédé d’obtention d’au moins un mot de passe pour accéder à un service à partir d’un premier terminal, le procédé comprenant les étapes de:
- envoi, depuis le premier terminal, d’une requête d’authentification d’un utilisateur auprès d’un deuxième terminal, distinct du premier, la requête d’authentification commandant une authentification de l’utilisateur par le deuxième terminal;
- obtention, en réponse à la requête d’authentification, d’un mot de passe pour le service considéré si le deuxième terminal a authentifié l’utilisateur.
Dans un mode de réalisation, l’envoi de la requête d’authentification est effectué auprès d’un deuxième terminal parmi des terminaux d’authentification autorisés auprès d’un gestionnaire de mot de passe.
Dans un mode de réalisation, le mot de passe pour le service considéré est obtenu en outre si le deuxième terminal est au moins un terminal parmi les terminaux suivants:
- le deuxième terminal auquel la requête d’authentification a été envoyée pour le service considéré,
- un terminal d’authentification autorisé.
Dans un mode de réalisation, le procédé comprend en outre une étape devérification, sur réception d’un signal de confirmation d’authentification de l’utilisateur en provenance du deuxième terminal, si le deuxième terminal est un terminal d’authentification autorisé,
une vérification positive déclenchant l’obtention du mot de passe pour le service considéré.
Dans un mode de réalisation, la vérification est effectuée en comparant un identifiant du deuxième terminal et un ensemble d’identifiants des terminaux d’authentification autorisés.
Dans un mode de réalisation, le mot de passe obtenu est sécurisé, soit par chiffrement, soit par établissement d’une communication sécurisée avec le premier terminal.
Dans un mode de réalisation, le signal de confirmation d’authentification de l’utilisateur comprend au moins l’un des identifiants parmi les suivants: un identifiant du deuxième terminal et un identifiant du service auquel l’utilisateur souhaite accéder.
La présente a également pour objet un premier terminal comportant un fournisseur d’un service à accès sécurisé par un mot de passe, le premier terminal comprenant:
- un générateur d’une requête d’authentification d’un utilisateur, la requête d’authentification étant apte à être émise auprès d’un deuxième terminal, distinct du premier, et commandant une authentification de l’utilisateur par le deuxième terminal;
- un obtenteur de mot de passe apte à obtenir, en réponse à la requête d’authentification, un mot de passe pour le service considéré si le deuxième terminal a authentifié l’utilisateur.
Un fournisseur d’un service peut par exemple être une application d’accès au service implémentée sur le premier terminal, ou un navigateur web permettant d’accéder à une page web de connexion à un service hébergé sur un équipement distant du réseau de communication, etc.
Un générateur d’une requête d’authentification peut être mis en œuvre par une application logicielle implémentée sur le premier terminal.
Un obtenteur de mot de passe peut être une interface de communication avec un équipement distant tel que le deuxième terminal ou un gestionnaire de mot de passe implémenté sur un équipement distant du réseau. Il peut s’agir également d’une application logicielle implémentée par le premier terminal.
La présente a également pour objet un procédé de gestion de mots de passe pour accéder à un service à partir d’un premier terminal, le procédé de gestion de mots de passe étant mis en œuvre par un gestionnaire de mots de passe et comprenant l’étape de:
- fourniture, en réponse à une requête d’authentification d’un utilisateur envoyée par le premier terminal auprès d’un deuxième terminal, distinct du premier, et commandant une authentification de l’utilisateur par le deuxième terminal, d’un mot de passe pour le service considéré si le deuxième terminal a authentifié l’utilisateur.
Dans un mode de réalisation, le procédé comprend en outre une étape préliminaire d’enregistrement du deuxième terminal en tant que terminal de communication autorisé auprès du gestionnaire de mots de passe.
La présente a également pour objet un gestionnaire de mot de passe pour accéder à un service à partir d’un premier terminal, le gestionnaire de mots de passe comprenant:
- un fournisseur, en réponse à une requête d’authentification d’un utilisateur envoyée par le premier terminal auprès d’un deuxième terminal, distinct du premier, et commandant une authentification de l’utilisateur par le deuxième terminal, d’un mot de passe pour le service considéré si le deuxième terminal a authentifié l’utilisateur.
Un fournisseur d’un mot de passe peut être une interface de communication au premier terminal, éventuellement sécurisée, par exemple une interface de connexion à un réseau privé virtuel ou VPN établi avec le premier terminal. Il peut s’agir également, dans le cas où le gestionnaire de mot de passe est implémenté dans le premier terminal, d’une application apte à communiquer avec une application logicielle implémentée par le premier terminal pour l’obtention du mot de passe.
Dans un mode de réalisation, le gestionnaire de mot de passe est implémenté dans l’un des dispositifs suivants: le premier terminal, le deuxième terminal, un équipement d’un réseau de communication.
Dans un mode de réalisation, le gestionnaire de mot de passe comprend une mémoire stockant une liste de terminaux d’authentification autorisés et une base de données de mots de passe comportant une liste de services dans laquelle, à un service de la liste de services, est associé un mot de passe.
La présente a également pour objet un procédé d’authentification d’un utilisateur pour l’accès à un service depuis un premier terminal, le procédé étant mis en œuvre par un deuxième terminal distinct du terminal, et comprenantl’étape de :
- sur réception d’une requête d’authentification provenant du premier terminal, fourniture d’un signal de confirmation d’authentification déclenchant une obtention, par le premier terminal, d’un mot de passe pour le service considéré.
Dans un mode de réalisation, le procédé d’authentification comprend les étapes de:
- sur réception d’une requête d’authentification provenant du premier terminal, capture d’une donnée d’authentification d’un utilisateur du deuxième terminal
- comparaison de la donnée d’authentification captée avec une donnée de référence pré-enregistrée,
- en cas de correspondance entre la donnée d’authentification et la donnée de référence, fourniture du signal de confirmation d’authentification de l’utilisateur.
Dans un mode de réalisation, la capture met en œuvre une des étapes suivantes:
- une capture de l’empreinte digitale de l’utilisateur, l’empreinte digitale captée constituant la donnée d’authentification captée,
- l’acquisition d’une image représentant au moins une partie du visage de l’utilisateur,
- une saisie d’un code personnel ou mot de passe de l’utilisateur. constituant la donnée d’authentification captée,,
- la saisie d’une empreinte vocale ou d’une donnée d’authentification prononcée par l’utilisateur.
La présente a également pour objet un deuxième terminal apte à authentifier un utilisateur pour l’accès à un service depuis un premier terminal, le deuxième terminal étant distinct du premier terminal, dans lequel le deuxième terminal comprend:
- un fournisseur de signal de confirmation d’authentification de l’utilisateur, sur réception d’une requête d’authentification provenant du premier terminal, le signal de confirmation d’authentification étant apte à déclencher une obtention, par le premier terminal, d’un mot de passe pour le service considéré.
Dans un mode de réalisation, le deuxième terminal comprend:
- un récepteur d’une requête d’authentification provenant d’un terminal utilisateur,
- un certificateur de l’identité de l’utilisateur, le certificateur étant apte à déclencher le fournisseur de signal de confirmation d’authentification si l’utilisateur est authentifié.
Le récepteur peut être par exemple une interface d’accès à un réseau sans fil tel que par exemple GSM, LTE, 3G, 4G, 5G, etc., permettant de recevoir une requête d’authentification par exemple par SMS. Le certificateur peut être mis en œuvre par une application logicielle implémentée sur le deuxième terminal.
Dans un mode de réalisation, le deuxième terminal comporte un capteur d’empreinte digitale.
La présente a également un produit programme d’ordinateur, comprenant des instructions de code pour la mise en œuvre du procédé d’obtention décrit ci-avant, et/ou du procédé de gestion de mots de passe décrit ci-avant, et/ou du procédé d’authentification décrit ci-avant, lorsqu’il est exécuté sur un terminal.
Le procédé proposé permet de s’affranchir de l’utilisation d’un mot de passe pour déverrouiller l’accès à un gestionnaire de mot de passe, notamment pour un terminal ne disposant pas de moyens de capture d’empreinte digitale. En effet, pour un utilisateur souhaitant accéder à un service depuis un tel terminal, le procédé proposé permet d’obtenir un mot de passe pour l’accès au service en réalisant un déverrouillage sur son téléphone mobile. Cette solution est ergonomique pour l’utilisateur, tout en présentant un haut niveau de sécurité.
Les mots de passe existants pour l’accès à des services respectifs sont stockés en lien avec le numéro de téléphone de l’utilisateur dans une entité de gestion de mots de passe. Cette entité peut être intégrée au terminal par lequel l’utilisateur accède au service, par exemple dans la même application qui met en œuvre l’envoi d’une requête d’authentification au téléphone mobile.
L’entité de gestion de mots de passe peut cependant être intégrée à un serveur distant commun à un ensemble d’utilisateur, ou encore être intégrée au téléphone mobile, par exemple en étant gérée par l’application mobile qui traite la requête d’authentification du terminal.
D’autres caractéristiques, détails et avantages apparaîtront à la lecture de la description détaillée ci-après, et à l’analyse des dessins annexés, sur lesquels:
Fig. 1a
représente un système de gestion de mot de passe selon un premier mode de réalisation.
Fig. 1b
représente un système de gestion de mot de passe selon un deuxième mode de réalisation.
Fig. 1c
représente un système de gestion de mot de passe selon un troisième mode de réalisation.
Fig. 2
représente un exemple de mise en œuvre d’un procédé d’obtention de mot de passe, d’un procédé de gestion de mot de passe et d’un procédé d’authentification, selon un mode de réalisation.
Fig. 3
représente les principales étapes d’un procédé d’enregistrement d’un terminal d’authentification auprès d’un gestionnaire de mot de passe.
Un procédé d’obtention d’au moins un mot de passe pour accéder à un service sera décrit ci-après en référence à la figure 2. Ce procédé est mis en œuvre dans un environnement dont plusieurs exemples sont représentés schématiquement dans les figures 1a à 1c.
En référence à ces figures, le procédé d’obtention d’un mot de passe est mis en œuvre par un système 1 comprenant un premier terminal 10 pour accéder à un service. Le premier terminal 10 peut être par exemple un ordinateur personnel («PC») fixe ou mobile. Il peut également s’agir d’une tablette numérique.
Le premier terminal comporte un fournisseur d’un service à accès sécurisé par un mot de passe. Le fournisseur peut être une interface vers un service mis en œuvre dans un équipement de communication distant, notamment un équipement de fourniture de services. En variante, le fournisseur de service peut être une application mettant en œuvre partiellement ou en totalité dans le premier terminal 10 le service considéré. Dans tous les cas, le fournisseur de service présente une interface apte à sécuriser l’accès au service au moyen d’un mot de passe.
Le système 1 comprend également un deuxième terminal 20. Le deuxième terminal 20 est apte à authentifier un utilisateur pour permettre l’accès au service depuis le premier terminal 10. A cet égard, le deuxième terminal 20 est distinct du premier terminal. Dans un mode de réalisation, le deuxième terminal 20 est un téléphone mobile.
Le premier terminal 10 et le deuxième terminal 20 sont deux terminaux de communication d’un réseau de communication local ou distant. Le premier terminal peut être connecté au réseau de communication par l’intermédiaire d’un réseau d’accès, par exemple filaire. Le deuxième terminal peut être connecté au réseau de communication par l’intermédiaire d’un réseau d’accès sans fil, tel qu’un réseau mobile GSM, UMTS, LTE, 3G, 4G, 5G, etc.
Dans un mode de réalisation, la mise en œuvre du procédé peut être conditionnée à une co-localisation des deux terminaux 10, 20 à une même adresse, auquel cas les terminaux peuvent comprendre un dispositif de localisation tel qu’un récepteur GNSS ou un émetteur/récepteur Bluetooth pour l’établissement d’un lien Bluetooth entre les deux terminaux.
Le système 1 comprend également un gestionnaire 30 de mots de passe, comprenant une mémoire stockant une liste de terminaux d’authentification autorisés. Chaque terminal d’authentification autorisé peut être identifié par un identifiant du terminal, lequel peut être par exemple un numéro MSISDN ou IMSI du terminal.
Le gestionnaire 30 de mots de passe peut être implémenté dans le premier terminal 10, comme dans l’exemple représenté sur la figure 1a, dans le deuxième terminal 20 comme dans l’exemple représenté sur la figure 1b, ou dans un équipement distinct du réseau de communication, par exemple dans un serveur distant, comme dans l’exemple représenté sur la figue 1c.
En outre, le gestionnaire 30 de mots de passe comprend, pour chaque terminal d’authentification autorisé, une base de données sécurisée de mots de passe, ou coffre-fort numérique, comportant une liste de services, une liste de mots et passe, et une association de chaque service de la liste de services à un mot de passe de la liste de mots de passe. Dans le cas où le service auquel le premier terminal 10 essaie d’accéder est implémenté sur un serveur distant du premier terminal 10, le service peut être identifié par un identifiant pouvant être une adresse d’accès au service comme une adresse IP. Dans le cas où le service est implémenté dans le premier terminal 10, l’identifiant peut être un nom du service, ou une adresse du service dans une mémoire du premier terminal.
Dans un mode de réalisation, le gestionnaire 30 de mots de passe comprend en outre, une liste d’identifiants pour l’accès à des services, et une association de chaque identifiant à un mot de passe de la liste de mots de passe. Dans le cas, le procédé d’obtention de mot de passe décrit ci-après peut également permettre l’obtention d’un identifiant associé au mot de passe.
Un terminal d’authentification autorisé peut être un deuxième terminal 20 de l’utilisateur du premier terminal 10. En variante, il peut s’agit d’un deuxième terminal 20 d’un deuxième utilisateur distinct de l’utilisateur du premier terminal 10, mais appartenant à un groupe d’utilisateurs dont au moins l’un des membres est utilisateur du premier terminal. Par exemple, au sein d’une famille, le premier terminal peut être utilisé par un enfant, mais l’accès au service peut être conditionné à l’authentification, sur son deuxième terminal 20, d’un parent.
Pour la mise en œuvre du procédé décrit ci-après, le deuxième terminal 20 faire partie des terminaux d’authentification autorisés stockés dans la mémoire du gestionnaire 30 de mots de passe.
En référence à la figure 2, le premier terminal 10 met en œuvre un procédé d’obtention d’au moins un mot de passe pour accéder à un service.
Lors d’une première étape 100 de ce procédé, le terminal 10 envoie une requête d’authentification REQ d’un utilisateur auprès du deuxième terminal 20, la requête d’authentification REQ commandant une authentification de l’utilisateur du deuxième terminal 20 par celui-ci. L’utilisateur du premier terminal 10 souhaitant accéder à un service peut être le même que l’utilisateur du deuxième terminal 20 devant s’authentifier auprès du deuxième terminal 20. En variante, l’utilisateur du premier terminal 10 peut être différent de celui du deuxième terminal. Par exemple, l’utilisateur du premier terminal 10 peut être un enfant et l’utilisateur du deuxième terminal peut être un parent autorisant l’accès de l’enfant au service.
La requête d’authentification peut être envoyée au deuxième terminal par SMS ou par email. En variante, chaque terminal peut exécuter, pour la mise en œuvre du procédé d’obtention de mot de passe, une application hébergée sur un équipement du réseau de communication, et la requête est envoyée au deuxième terminal via les applications exécutées sur les terminaux et le réseau de communication.
La requête REQ peut comprendre un identifiant du service auquel l’utilisateur veut accéder depuis le premier terminal 10, comme par exemple une adresse IP du service.
Le procédé comprend ensuite la mise en œuvre d’un procédé d’authentification 200 de l’utilisateur par le deuxième terminal 20 à réception de la requête d’authentification REQ provenant du premier terminal.
Pour la mise en œuvre de l’authentification, le deuxième terminal capture une donnée d’authentification de l’utilisateur. La donnée d’authentification peut être un code personnel ou un mot de passe saisi sur un clavier d’une interface du deuxième terminal 20 tel qu’un écran tactile. Il peut s’agir également d’une capture d’une empreinte digitale acquise par un capteur dédié, ou encore une photographie d’un œil ou du visage de l’utilisateur. Il peut encore s’agir d’une signature manuscrite acquise au moyen d’un stylet ou d’un doigt de l’utilisateur sur une interface tactile comme l’écran tactile, ou encore une capture audio d’une empreinte vocale de l’utilisateur, ou une capture audio d’un code prononcé par l’utilisateur, etc. A cet égard, le deuxième terminal comporte au moins une interface 21 de capture de la donnée d’authentification, pouvant être un capteur d’empreinte digitale, un appareil photo, un écran tactile, un microphone, etc.
Une fois la donnée d’authentification acquise, elle est ensuite comparée à une donnée de référence de même nature pré-enregistrée, par exemple dans une mémoire du deuxième terminal 20. En cas de correspondance entre la donnée d’authentification et la donnée de référence, le deuxième terminal 20 génère un signal AUTH de confirmation d’authentification.
Ce signal AUTH est fourni lors d’une étape 300 au gestionnaire de mot de passe 30 pour déclencher une obtention, par le premier terminal 10, d’un mot de passe pour le service considéré.
Dans un mode de réalisation, le signal AUTH comprend au moins l’un d’un identifiant du deuxième terminal 20, par exemple le numéro MSISDN ou le numéro IMSI, et d’un identifiant du service auquel le premier terminal 10 cherche à accéder.
Dans le cas où le gestionnaire de mot de passe 30 est implémenté dans le deuxième terminal 10, la fourniture du signal AUTH de confirmation d’authentification est réalisée par communication entre l’application exécutée par le deuxième terminal pour la mise en œuvre de l’authentification à réception de la requête d’authentification REQ et la fourniture du signal de confirmation d’authentification, et le gestionnaire de mot de passe.
Dans le cas où le gestionnaire de mot de passe 30 est implémenté dans le premier terminal 10 ou dans un équipement distinct du réseau de communication, la fourniture du signal AUTH est avantageusement réalisée de façon sécurisée, soit par un envoi crypté du signal AUTH, soit par une transmission via une session sécurisée, de type VPN ou équivalent.
A réception du signal AUTH de confirmation d’authentification de l’utilisateur, le gestionnaire 30 de mot de passe met en œuvre un procédé de gestion de mot de passe comprenant la fourniture 500, en réponse à la requête d’authentification REQ, d’un mot de passe MDP pour le service, si le deuxième terminal a authentifié l’utilisateur. Pour ce faire, le gestionnaire 30 de mot de passe vérifie au cours d’une étape 400 l’existence d’une correspondance entre l’identifiant du deuxième terminal 20 reçu dans le signal AUTH et l’ensemble des identifiants des terminaux d’authentification autorisé. Dans un mode de mise en œuvre, le gestionnaire de mot de passe compare un identifiant du deuxième terminal contenu dans le signal AUTH avec l’ensemble des identifiants des terminaux d’authentification autorisés. Le fait que l’identifiant du deuxième terminal 20, et le cas échéant du service, soit contenu dans le signal AUTH de confirmation d‘authentification permet au gestionnaire 30 de mot de passe de mettre en œuvre cette vérification 400 en évitant une communication supplémentaire de ces informations auprès du gestionnaire 30 de mot de passe.
De plus, c’est la même entité 30 qui sécurise les mots de passe dans une base de données sécurisée, et qui détermine si le terminal fournissant la confirmation d’authentification est autorisé à le faire. Ceci centrale la sécurisation des mots de passe, en évitant les risques liés à des échanges entre deux entités de sécurisation.
Si la vérification est positive, et déclenche donc l’obtention par le premier terminal 10 d’un mot de passe, si le deuxième terminal est au moins un terminal parmi les terminaux suivants:
  • Le deuxième terminal auquel la requête d’authentification REQ a été envoyée pour le service considéré, et
  • Un terminal d’authentification autorisé.
Le fait de vérifier que le deuxième terminal est celui auquel la requête d’authentification REQ a été envoyée permet de sécuriser l’obtention du mot de passe en vérifiant que l’émetteur de la confirmation d’authentification est bien le terminal à qui cette authentification a été demandée.
Dans le cas où le deuxième terminal est celui auquel la requête d’authentification a été envoyée, mais n’est pas un terminal d’authentification autorisé enregistré auprès du gestionnaire de mot de passe, cela peut correspondre à une première utilisation du gestionnaire de mot de passe par ce deuxième terminal. Dans ce cas, le gestionnaire de mot de passe peut enregistrer à ce moment-là le deuxième terminal comme terminal d’authentification autorisé et générer un mot de passe pour le service correspondant. Ce mot de passe est également enregistré dans la base de données sécurisée du gestionnaire de mot de passe.
En variante, le deuxième terminal 20 peut mettre en œuvre un procédé d’enregistrement 90 comme terminal d’authentification autorisé auprès du gestionnaire de mot de passe, ce procédé étant décrit ci-après en référence à la figure 3.
Le cas où le deuxième terminal 20 est un terminal d’authentification autorisé enregistré auprès du gestionnaire de mot de passe 30, mais n’est pas celui auquel la requête d’authentification a été envoyée pour le service considérée, peut correspondre à un cas où la requête d’authentification est envoyée à un deuxième terminal 20 de l’utilisateur du premier terminal 10, par exemple un enfant, qui la transmet à un deuxième terminal d’un autre utilisateur pour réaliser l’authentification, par exemple un parent.
La vérification du fait que l’identifiant du deuxième terminal correspond à la fois à un terminal d’authentification autorisé et à celui à qui la requête REQ a été acceptée permet d’empêcher une interception par un autre terminal non autorisé de la requête REQ destinée au deuxième terminal 20.
En cas de correspondance, c’est-à-dire de vérification positive, le gestionnaire de mot de passe 30 accède aux listes de services et de mots de passe enregistrés pour le terminal d’authentification correspondant, et récupère le mot de passe enregistré pour le service considéré. Dans un mode de réalisation, l’entité 30 peut également stocker un identifiant d’utilisateur associé au mot de passe pour l’accès de l’utilisateur au service, et dans ce cas l’entité 30 récupère également cet identifiant.
Une fois le mot de passe créé ou récupéré, l’entité 30 de gestion de mot de passe fournit le mot de passe lors d’une étape 500, éventuellement accompagné de l’identifiant correspondant pour le service, au terminal 10, qui l’obtient.
Dans le cas où l’entité de gestion de mot de passe est stockée dans le terminal 10, l’obtention du mot de passe par le premier terminal 10 est mise en œuvre par communication entre l’entité de gestion de mot de passe et l’application exécutée sur le terminal 10. Dans les autres cas, où le gestionnaire de mot de passe est implémenté par le deuxième terminal 20 ou un équipement distinct du réseau, l’obtention est la réception, par le premier terminal 10, du mot de passe. Dans ce cas la communication entre le gestionnaire 30 de mot de passe et le premier terminal est avantageusement sécurisée, pour sécuriser l’accès au service. Par exemple, le mot de passe peut être communiqué de manière chiffrée au premier terminal 10, qui le déchiffre à réception. Selon un autre exemple, une communication sécurisée de type VPN ou équivalent peut être mise en œuvre entre le gestionnaire de mot de passe 30 et le premier terminal.
A l’issue de ces étapes, le terminal 10 a ainsi obtenu le mot de passe de l’utilisateur pour l’accès au service souhaité.
En référence à la figure 3, un terminal 20 peut être préalablement enregistré comme terminal d’authentification autorisé auprès du gestionnaire de mot de passe 30 par la mise en œuvre d’un procédé d’enregistrement 90.
Cet enregistrement 90 comprend une première étape 91 de fourniture d’un identifiant ID du deuxième terminal 20, comme par exemple le numéro de téléphone (MSISDN ou IMSI), au gestionnaire de mot de passe.
A réception de cet identifiant le gestionnaire de mot de passe peut envoyer un message de validation VAL au deuxième terminal lors d’une étape 92. Dans le cas où l’identifiant est un numéro de téléphone, cette étape peut être mise en œuvre par SMS par exemple.
Le procédé comprend ensuite une étape de fourniture 93, au gestionnaire 30 de mots de passe, d’une information INF de validation obtenue à partir du message de validation reçu par le deuxième terminal. Par exemple, l’information de validation peut être un code de validation figurant dans le message VAL. Alternativement, le message VAL peut comprendre un lien de validation dont l’accès par le deuxième terminal permet la fourniture au gestionnaire de mots de passe d’une information de validation.
A réception de cette information de validation, le gestionnaire de mots de passe enregistre l’identifiant du deuxième terminal en tant que terminal d’authentification autorisé lors d’une étape 94.

Claims (15)

  1. Procédé d’obtention d’au moins un mot de passe pour accéder à un service à partir d’un premier terminal (10), le procédé comprenant les étapes de:
    - envoi (100), depuis le premier terminal (10), d’une requête (REQ) d’authentification d’un utilisateur auprès d’un deuxième terminal (20), la requête d’authentification commandant une authentification de l’utilisateur par le deuxième terminal;
    - obtention, en réponse à la requête d’authentification, d’un mot de passe (MDP) pour le service considéré si le deuxième terminal a authentifié l’utilisateur.
  2. Procédé selon la revendication 1, dans lequel l’envoi de la requête d’authentification est effectué auprès d’un deuxième terminal parmi des terminaux d’authentification autorisés auprès d’un gestionnaire de mot de passe.
  3. Procédé selon l’une quelconque des revendications 1 ou 2, dans lequel le mot de passe pour le service considéré est obtenu en outre si le deuxième terminal est au moins un terminal parmi les terminaux suivants:
    - le deuxième terminal auquel la requête d’authentification a été envoyée pour le service considéré,
    - un terminal d’authentification autorisé.
  4. Procédé selon l’une quelconque des revendications 1 à 3, dans lequel le procédé comprend en outre l’étape de:
    - vérification (400), sur réception d’un signal de confirmation d’authentification (AUTH) de l’utilisateur en provenant du deuxième terminal, si le deuxième terminal est un terminal d’authentification autorisé, une vérification (400) positive déclenchant l’obtention du mot de passe (MDP) pour le service considéré.
  5. Procédé selon la revendication 4, dans lequel le signal de confirmation d’authentification de l’utilisateur comprend au moins l’un des identifiants parmi les suivants: un identifiant du deuxième terminal et un identifiant du service auquel l’utilisateur souhaite accéder.
  6. Premier terminal (10) comportant un fournisseur d’un service à accès sécurisé par un mot de passe, le premier terminal (10) comprenant:
    - un générateur d’une requête (REQ) d’authentification d’un utilisateur, la requête d’authentification étant apte à être émise auprès d’un deuxième terminal (20) et commandant une authentification de l’utilisateur par le deuxième terminal;
    - un obtenteur de mot de passe apte à obtenir, en réponse à la requête d’authentification, un mot de passe (MDP) pour le service considéré si le deuxième terminal a authentifié l’utilisateur.
  7. Procédé de gestion de mots de passe pour accéder à un service à partir d’un premier terminal (10), le procédé de gestion de mots de passe mis en œuvre par un gestionnaire de mots de passe comprenant l’étape de:
    - fourniture, en réponse à une requête d’authentification d’un utilisateur envoyée par le premier terminal (10) auprès d’un deuxième terminal (20) et commandant une authentification de l’utilisateur par le deuxième terminal, d’un mot de passe (MDP) pour le service considéré si le deuxième terminal a authentifié l’utilisateur.
  8. Gestionnaire (30) de mot de passe pour accéder à un service à partir d’un premier terminal (10), le gestionnaire de mots de passe comprenant:
    - un fournisseur, en réponse à une requête d’authentification d’un utilisateur envoyée par le premier terminal (10) auprès d’un deuxième terminal (20) et commandant une authentification de l’utilisateur par le deuxième terminal, d’un mot de passe (MDP) pour le service considéré si le deuxième terminal a authentifié l’utilisateur.
  9. Gestionnaire (30) de mot de passe selon la revendication précédente, dans lequel le gestionnaire (30) de mot de passe est implémenté dans l’un des dispositifs suivants: le premier terminal (10), le deuxième terminal (20), un équipement d’un réseau de communication.
  10. Gestionnaire de mot de passe selon l’une des revendications 8 ou 9, dans lequel le gestionnaire (30) de mot de passe comprend une mémoire stockant une liste de terminaux d’authentification autorisés et une base de données de mots de passe comportant une liste de services dans laquelle, à un service de la liste de services, est associé un mot de passe.
  11. Procédé d’authentification d’un utilisateur pour l’accès à un service depuis un premier terminal, le procédé étant mis en œuvre par un deuxième terminal distinct du terminal, et comprenantl’étape de :
    - sur réception d’une requête d’authentification provenant du premier terminal, fourniture d’un signal de confirmation d’authentification déclenchant une obtention, par le premier terminal, d’un mot de passe (MDP) pour le service considéré.
  12. Deuxième terminal (20) apte à authentifier un utilisateur pour l’accès à un service depuis un premier terminal, le deuxième terminal étant distinct du premier terminal, dans lequel le deuxième terminal comprend:
    - un fournisseur de signal de confirmation d’authentification (AUTH) de l’utilisateur, sur réception d’une requête d’authentification provenant du premier terminal, le signal de confirmation d’authentification étant apte à déclencher une obtention, par le premier terminal, d’un mot de passe (MDP) pour le service considéré.
  13. Deuxième terminal selon la revendication précédente, dans lequel le deuxième terminal comprend:
    - un récepteur d’une requête d’authentification (REQ) provenant d’un terminal utilisateur (10),
    - un certificateur de l’identité de l’utilisateur, le certificateur étant apte à déclencher le fournisseur de signal de confirmation d’authentification si l’utilisateur est authentifié.
  14. Produit programme d’ordinateur, comprenant des instructions de code pour la mise en œuvre du procédé d’obtention selon l’une quelconque des revendications 1 à 5, et/ou du procédé de gestion de mots de passe selon la revendication 7 et/ou du procédé d’authentification selon la revendication 11, lorsqu’il est exécuté sur un terminal.
  15. Système (1) de gestion de mot de passe, comprenant un premier terminal (10) selon la revendication 6, un deuxième terminal (20) selon l’une des revendications 12 ou 13, et un gestionnaire (30) de mot de passe selon l’une des revendications 8 à 10.
FR1914744A 2019-12-18 2019-12-18 Procédé d’obtention de mot de passe pour l’accès à un service Active FR3105482B1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR1914744A FR3105482B1 (fr) 2019-12-18 2019-12-18 Procédé d’obtention de mot de passe pour l’accès à un service

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1914744A FR3105482B1 (fr) 2019-12-18 2019-12-18 Procédé d’obtention de mot de passe pour l’accès à un service
FR1914744 2019-12-18

Publications (2)

Publication Number Publication Date
FR3105482A1 true FR3105482A1 (fr) 2021-06-25
FR3105482B1 FR3105482B1 (fr) 2022-08-12

Family

ID=70613943

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1914744A Active FR3105482B1 (fr) 2019-12-18 2019-12-18 Procédé d’obtention de mot de passe pour l’accès à un service

Country Status (1)

Country Link
FR (1) FR3105482B1 (fr)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2498529A1 (fr) * 2011-03-08 2012-09-12 Trusted Logic Mobility SAS Procédé d'authentification d'utilisateur pour accéder à un service en ligne
FR3017729A1 (fr) * 2014-02-18 2015-08-21 Evidian Procede d'authentification a distance
US20180004928A1 (en) * 2015-02-19 2018-01-04 Carnegie Mellon University Unified authentication management system
EP3343876A1 (fr) * 2017-01-03 2018-07-04 Samsung Electronics Co., Ltd. Procédé de gestion de contenus et dispositif électronique associé

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2498529A1 (fr) * 2011-03-08 2012-09-12 Trusted Logic Mobility SAS Procédé d'authentification d'utilisateur pour accéder à un service en ligne
FR3017729A1 (fr) * 2014-02-18 2015-08-21 Evidian Procede d'authentification a distance
US20180004928A1 (en) * 2015-02-19 2018-01-04 Carnegie Mellon University Unified authentication management system
EP3343876A1 (fr) * 2017-01-03 2018-07-04 Samsung Electronics Co., Ltd. Procédé de gestion de contenus et dispositif électronique associé

Also Published As

Publication number Publication date
FR3105482B1 (fr) 2022-08-12

Similar Documents

Publication Publication Date Title
US10735196B2 (en) Password-less authentication for access management
US9531710B2 (en) Behavioral authentication system using a biometric fingerprint sensor and user behavior for authentication
CN106453245B (zh) 验证身份的方法及装置
CN107800672B (zh) 一种信息验证方法、电子设备、服务器及信息验证系统
FR2864289A1 (fr) Controle d'acces biometrique utilisant un terminal de telephonie mobile
CN104967511A (zh) 加密数据的处理方法及装置
CN111669408A (zh) 一种身份注册及认证的方法及装置
CN105281907B (zh) 加密数据的处理方法及装置
FR3048530B1 (fr) Systeme ouvert et securise de signature electronique et procede associe
FR2987150A1 (fr) Securisation d'une transmission de donnees.
FR3061971A1 (fr) Procede d'authentification en deux etapes, dispositif et programme d'ordinateur correspondant
CN108989021A (zh) 信息认证方法、装置、计算机设备及可读存储介质
EP3729307B1 (fr) Procédés et dispositifs pour l'enrôlement et l'authentification d'un utilisateur auprès d'un service
WO2020221938A1 (fr) Procédé de connexion sécurisée à un service web embarqué et dispositif correspondant
EP1449092B1 (fr) Procede de securisation d un acces a une ressource numerique
FR3105482A1 (fr) Procédé d’obtention de mot de passe pour l’accès à un service
Garba A new secured application based mobile banking model for Nigeria
FR2985052A1 (fr) Dispositif electronique pour le stockage de donnees confidentielles
WO2024079144A1 (fr) Procédé de gestion de données d'authentification permettant l'accès à un service d'un utilisateur depuis un terminal
EP4165889A1 (fr) Procede d'acces et dispositif de gestion d'acces a une session de communication securisee entre des terminaux de communication participants par un terminal de communication requerant
EP3899765A1 (fr) Réinitialisation d'un secret applicatif au moyen du terminal
FR3111721A1 (fr) Procédé d’authentification d’un utilisateur sur un équipement client
WO2022136756A1 (fr) Attestation d'identite et de localisation par verification a multiples facteurs sur la base d'une boucle fermee d'echanges
FR3106949A1 (fr) Procédé de vérification du caractère humain d’un utilisateur pour l’accès à un service
CN115545713A (zh) 一种资源转移方法、装置及设备

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLSC Publication of the preliminary search report

Effective date: 20210625

PLFP Fee payment

Year of fee payment: 3

PLFP Fee payment

Year of fee payment: 4

PLFP Fee payment

Year of fee payment: 5