De nouvelles méthodes pourraient améliorer la sécurité des systèmes d’authentification à deux facteurs

De nouvelles méthodes pourraient améliorer la sécurité des systèmes d'authentification à deux facteurs

L’une des interactions conçues par les chercheurs obligerait les utilisateurs à appuyer sur le bouton de la bonne couleur pour approuver une tentative de connexion. Crédit : Nitesh Saxena, Texas A&M Engineering

Comme couche de sécurité supplémentaire, plusieurs services en ligne ont adopté des systèmes d’authentification à deux facteurs basés sur des notifications push, selon lesquels les utilisateurs doivent approuver les tentatives de connexion via un appareil mobile. Dans les systèmes d’authentification actuels, en particulier l’approche « appuyer pour approuver », il n’y a pas de lien explicite indiquant la correspondance entre la session de navigateur de l’utilisateur et la notification qu’il reçoit sur son appareil. Cette vulnérabilité peut être exploitée par un attaquant.

Pour résoudre ce problème, une équipe de chercheurs qui comprend le Dr Nitesh Saxena, professeur au Département d’informatique et d’ingénierie de l’Université Texas A&M, a conçu de nouvelles méthodes faciles à utiliser pour contrer les vulnérabilités des deux systèmes basés sur les notifications push. -systèmes d’authentification par facteur.

“Les mécanismes que nous avons conçus ont une convivialité similaire à la méthode d’authentification basée sur les notifications push d’origine, mais ils améliorent la sécurité contre les attaques de connexion simultanées”, a déclaré Saxena. “Si un utilisateur reçoit deux notifications, la notification qui correspond à la session du navigateur de l’attaquant sera différente. Par conséquent, l’utilisateur doit être en mesure de détecter que quelque chose ne va pas et de ne pas accepter la mauvaise notification.”

L’article de l’équipe décrivant la recherche a été publié dans les actes du Symposium européen 2021 de l’Institut des ingénieurs électriciens et électroniciens sur la sécurité et la confidentialité (EuroS&P).

Les notifications push sont des messages contextuels cliquables envoyés directement sur l’appareil mobile ou de bureau d’un utilisateur via une application installée. Ils peuvent apparaître à tout moment et afficher diverses choses telles que la météo, les dernières nouvelles, les appels ou SMS manqués, les rappels, etc.

Ils peuvent également être utilisés comme authentification à second facteur (ou authentification sans mot de passe), qui fonctionne comme une couche de sécurité supplémentaire pour protéger les comptes en ligne des utilisateurs contre les attaquants. Avec l’authentification par notification push, une notification push est envoyée directement à un appareil mobile (généralement un smartphone) enregistré sur un compte en ligne, alertant l’utilisateur qu’une tentative de connexion est en cours. L’utilisateur peut ensuite consulter les détails de la notification et approuver ou refuser la demande en appuyant sur un bouton.

L’un des principaux avantages de cette méthode est qu’il s’agit d’un moyen simple d’authentifier les tentatives de connexion qui n’obligent pas les utilisateurs à mémoriser et à gérer des mots de passe complexes pour leurs comptes. Au cours des dernières années, il y a eu une forte augmentation de l’adoption de systèmes d’authentification basés sur des notifications push comme Duo-Push et Authy. Ils ont également été adoptés commercialement par de grandes sociétés de logiciels et de services comme Google, Twitter et plusieurs entités académiques.

Bien que cette méthode soit fondamentalement plus conviviale que la méthode du mot de passe à usage unique, elle contient plusieurs risques de sécurité, dont l’un est appelé une attaque de concurrence, introduite dans les recherches de Saxena.

Au cours de ce type d’attaque, un acteur malveillant obtiendra le mot de passe d’un utilisateur et lancera une session de connexion simultanément en tant qu’utilisateur principal, accédant ainsi aux identifiants de connexion de l’utilisateur. Si l’attaquant et l’utilisateur se connectent simultanément, l’appareil de l’utilisateur recevra deux notifications « pousser pour approuver ». Comme il n’y a pas de différence fondamentale entre les deux notifications, ils pourraient accepter sans le savoir la notification de l’attaquant, lui donnant accès à des informations sensibles (bancaires, scolaires, etc.).

Une première solution développée par les chercheurs, qui est mentionnée dans leur article du Symposium européen sur la sécurité et la confidentialité, consistait à utiliser un nombre aléatoire à quatre chiffres que l’utilisateur devrait comparer et faire correspondre pour accepter la notification. Avec ce type d’approche, cependant, il y a de fortes chances qu’ils ne regardent pas d’assez près et n’acceptent pas la notification de l’attaquant.

“Il existe une grande quantité de littérature dans la communauté de la sécurité de l’utilisabilité montrant que les gens ne prêtent pas attention à ces notifications de sécurité, avertissements et choses de cette nature”, a déclaré Saxena. “Ils les contournent en appuyant sur le bouton OK pour qu’ils puissent se connecter et poursuivre leur tâche principale. Ils n’anticipent pas d’attaque, nous n’avons donc pas voulu utiliser cette méthode.”

Pour remédier à ce défaut de conception, les chercheurs ont conçu une nouvelle méthode appelée REPLICATE. Avec REPLICATE, les utilisateurs doivent approuver la tentative de connexion en reproduisant une interaction aléatoire présentée sur la session du navigateur sur la notification de connexion, liant explicitement la notification à la session du navigateur de l’utilisateur. Par exemple, l’utilisateur serait invité à faire glisser une icône de clé dans une direction particulière lors d’une interaction. Dans une autre interaction, l’utilisateur verrait des boutons colorés et appuierait sur le bon.

Bien que les interactions soient simples à réaliser, elles empêcheront une attaque simultanée de se produire car l’interaction requise pour valider la session de l’utilisateur sera différente de l’interaction que l’attaquant devra effectuer pour approuver sa session.

Pour tester l’efficacité de l’interface, l’équipe a mené une étude d’utilisabilité avec 40 à 50 participants, où ils ont évalué et comparé son efficacité à la méthode “just tap”. Ils ont constaté que les participants à l’étude pouvaient effectuer efficacement les tâches simples avec peu ou pas d’erreurs.

“Si l’attaquant devait se connecter en même temps pour mener une attaque contre cette méthode, il ne réussirait pas car l’utilisateur fait correspondre sa session de navigateur avec la notification et ne serait pas en mesure d’accepter la notification de l’attaquant”, dit Saxena.

En plus d’étudier l’efficacité de REPLICATE avec un groupe d’étude plus large pour mieux mesurer sa convivialité et son adaptabilité dans la pratique, les chercheurs veulent augmenter le caractère aléatoire du processus de mise en correspondance de la session du navigateur avec la notification.

“Par exemple, lorsque vous regardez le nombre d’options pour l’interaction de glissement de touche, le caractère aléatoire impliqué dans ce processus est très faible. Si l’utilisateur reçoit deux notifications, l’une disant “faites-le glisser vers le haut” et l’autre “faites-le glisser vers le bas”. “, l’utilisateur peut choisir la notification de l’attaquant, effectuer cette opération et l’accepter. Bien que nous ne l’ayons pas vu dans l’étude, il y a toujours une petite possibilité que cela se produise, c’est donc une chose que nous devons résoudre.”


Un professeur d’informatique adopte une approche « pratique » de la sécurité des smartphones


Plus d’information:
Jay Prakash et al, Countering Concurrent Login Attacks in “Just Tap” Push-based Authentication: A Redesign and Usability Evaluations, 2021 IEEE European Symposium on Security and Privacy (EuroS&P) (2021). DOI : 10.1109/EuroSP51992.2021.00013, ieeexplore.ieee.org/document/9581191

Fourni par Texas A&M University College of Engineering

Citation: De nouvelles méthodes pourraient améliorer la sécurité des systèmes d’authentification à deux facteurs (14 avril 2022) récupéré le 14 avril 2022 sur https://techxplore.com/news/2022-04-methods-two-factor-authentication.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation loyale à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.