Sécurité

Crypto incassable : stockez un mot de passe de 30 caractères dans la mémoire subconsciente de votre cerveau

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Une équipe interdisciplinaire de neuroscientifiques et de cryptographes américains a mis au point un système de mot de passe/clé d’accès qui supprime le maillon le plus faible de tout système de sécurité : l’utilisateur humain. C’est ingénieux : le système demande toujours que vous saisissiez un mot de passe, mais à aucun moment vous ne rappelles toi le mot de passe, ce qui signifie qu’il ne peut pas être écrit et qu’il ne peut pas être obtenu par la coercition ou la torture.

Le système, conçu par Hristo Bojinov de l’Université de Stanford et des amis de Northwestern et SRI, repose sur apprentissage implicite, un processus par lequel vous absorbez de nouvelles informations – mais vous ignorez complètement que vous avez réellement appris quelque chose ; un peu comme apprendre à faire du vélo. En bref, le système enseigne le mot de passe à une partie de votre cerveau à laquelle vous ne pouvez pas physiquement accéder – mais il est toujours là dans votre subconscient, attendant juste d’être exploité.

Le processus d’apprentissage du mot de passe (ou clé cryptographique) implique l’utilisation d’un jeu informatique spécialement conçu qui, curieusement, ressemble à Guitar Hero (photo ci-dessous). Il y a six boutons – S, D, F, J, K, L – et l’utilisateur doit appuyer sur la touche correspondante (note) lorsque le cercle atteint le bas (frette). Au cours d’une session de formation typique d’environ 45 minutes, un utilisateur effectuera environ 4 000 frappes – et voici le génie : environ 80 % de ces frappes sont utilisées pour vous apprendre inconsciemment un mot de passe de 30 caractères.

Psssssst :  Une nouvelle escroquerie au support technique emprunte des astuces de ransomware - High-teK.ca

Apprentissage implicite SISL, via Guitar Hero

Avant de démarrer, le jeu crée une séquence aléatoire de 30 lettres choisies parmi S, D, F, J, K et L, sans caractères répétitifs. Cela équivaut à environ 38 bits d’entropie, ce qui est des milliers/millions de fois plus sûr que votre mot de passe moyen et mémorable. Cette séquence de 30 caractères est lue à l’utilisateur trois fois de suite, puis complétée par 18 caractères aléatoires, pour un total de 108 éléments. Cette séquence est répétée cinq fois (540 éléments), puis il y a une courte pause. Tout ce processus est répété six fois de plus, pour un total de 3 780 articles.

À ce stade, leurs résultats expérimentaux suggèrent que le mot de passe de 30 lettres est fermement implanté dans votre cerveau subconscient. L’authentification nécessite que vous jouiez une partie du jeu – mais cette fois, votre séquence de 30 lettres est entrecoupée d’autres séquences aléatoires de 30 lettres. Pour réussir l’authentification, vous devez être fiable et performant sur votre séquence. Même après deux semaines, il semble que vous puissiez toujours vous souvenir de cette séquence.

Système SISL d'apprentissage implicite de Bojinov, avantage de séquence après 1/2 semaines

L’aspect le plus important de ce travail est qu’il établit (apparemment) une nouvelle primitive cryptographique qui supprime complètement le danger de la cryptanalyse en caoutchouc – c’est-à-dire l’obtention de clés de passe par la torture ou la coercition. Cela vous donne également la possibilité de déni : si un juge ou un policier vous ordonne de remettre votre mot de passe, vous pouvez dire de manière plausible que vous ne le connaissez pas réellement. Pour plus d’informations sur les forces et les faiblesses de cette approche cryptographique, appelée d’ailleurs Serial Interception Sequence Learning (SISL), cliquez sur Le document de recherche de Bojinov. Bojinov présentera ses découvertes au Symposium Usenix sur la sécurité en août.

Avec Black Hat, DEF CON et le Usenix Security Symposium qui auront tous lieu dans les prochaines semaines, le système SISL de Bojinov n’est probablement que le premier de nombreux hacks impressionnants qui apparaîtront en temps voulu. L’année dernière a vu le piratage inaugural de la 4G et du CDMA, ouvrir les portes de la voiture par SMSet pirater des pompes à insuline sans fil – et j’espère que cette année sera encore meilleure.

Psssssst :  La Chine poursuit sa campagne de cyberguerre et pirate le New York Times - High-teK.ca

Bouton retour en haut de la page