Pixie, l’authentification-forte via vos babioles (bijoux, montres, chaussures…)
Un groupe de chercheurs de la Florida International University et Bloomberg LP vient de créer Pixie, un nouveau système d’authentification-forte (2FA) sur la base d’une caméra portative (votre smartphone) qui s’avère être une bonne alternative aux mots de passe et aux mécanismes d’authentification-forte biométriques.
Pixie est une solution basée sur une caméra qui se fonde sur ce que l’utilisateur porte : il est question de trinket (babiole) et sur ce que l’utilisateur sait (quelle babiole photographier/filmer, quel angle de visibilité, quel point de vue, etc.). Pixie repose donc sur un objet, quel qu’il soit, présent sur le porteur et bien évidemment en dehors du smartphone qui généralement fait office de second facteur.
Un collier, des boucles d’oreilles, une montre, un porte-clé, des chaussures, un tatouage, des lunettes… Toutes ces caractéristiques “portées” en dehors du smartphone permettent d’identifier / authentifier l’usager si la photo est correctement prise. L’usager à la charge d’enrôler une première fois la photo qui servira de comparatif de sa “babiole” (distance de prise de vue, angle, etc.).
Pixie authentication is based on what the user has (the trinket) and what the user knows (the particular trinket among all the other objects that the user readily has access to, angle and viewpoint used to register the trinket),” the researchers explained. “Pixie assigns the duty of storing the token for the second factor to a physical object outside the mobile device.
L’utilisateur peut changer régulièrement de “photo d’authentification” aussi souvent qu’il change d’accessoires portés.
In contrast to biometrics, Pixie enables users to change the authenticating physical factor, as they change accessories they wear or carry. This reduces the risks from an adversary who has acquired the authentication secret from having lifelong consequences for the victims, thereby mitigating the need for biometric traceability and revocation.
La solution Pixie a été testée sur 42 participants. Celle-ci s’avère rapide à mettre en place et à l’utilisation, précise et résiliente aux attaques : prometteur !
Pixie a été implémenté pour Android (HTC One smartphone) et réalise une authentification en 1/2 seconde. Le taux de faux-positif est de 0.02% et de faux-rejet de 4.25% suite à une évaluation sur 122 500 tentatives d’authentification.
To evaluate the security of Pixie, we introduce several image based attacks, including an image based dictionary (or “pictionary”) attack. Pixie achieves a FAR below 0.09% on such an attack consisting of 14.3 million authentication attempts constructed using public trinket image datasets and images that we collected online,” they shared.
Comme pour l’authentification morphologique-biométrique du faciès, Pixie est vulnérable si un attaquant dispose d’une image correspondant à la “babiole” prise avec l’angle de vue et le recul de l’enrôlement initial. Mais Pixie s’avère résilient aux attaques par “shoulder-surfing”. Bien évidemment, les performances de Pixie peuvent être amoidries par manque de lumière ou lors d’authentification avec beaucoup de monde présent.
L’utilisation de Pixie peut être en tant qu’authentification unique ou secondaire (2FA). Le projet est disponible sur GitHub ainsi que sur le Google Play.
Sources & ressources :
- Pixie GitHub
- Pixie GooglePlay
- Camera Based Two Factor Authentication Through Mobile and Wearable Devices
- Camera-based, single-step two-factor authentication resilient to pictionary, shoulder surfing attacks
- How to turn your watch, shoes, or household junk into a password
- Your shoe, chewing gum, or ciggies are now your extra password