Sélectionner la langue

Psychométrie étroitement détenue et éphémère : Authentification par mot de passe et phrase de passe utilisant des constructions de soi fournies par l'utilisateur

Une analyse de l'authentification par mot de passe à travers la psychologie cognitive et la psycholinguistique, proposant un modèle autoréférentiel pour une sécurité et une mémorabilité renforcées.
strongpassword.org | PDF Size: 0.2 MB
Note: 4.5/5
Votre note
Vous avez déjà noté ce document
Couverture du document PDF - Psychométrie étroitement détenue et éphémère : Authentification par mot de passe et phrase de passe utilisant des constructions de soi fournies par l'utilisateur
Voir le document PDF Télécharger PDF Traduire PDF
Accueil » Documentation » Psychométrie étroitement détenue et éphémère : Authentification par mot de passe et phrase de passe utilisant des constructions de soi fournies par l'utilisateur

Table des matières

1. Introduction

La sécurité informatique a traditionnellement été axée sur la technologie ou les systèmes, ce qui a conduit à des solutions ingénieuses pour l'authentification des utilisateurs, la distribution des clés et leur expiration. Cependant, ces solutions créent souvent de nouveaux problèmes pour les utilisateurs et les administrateurs. Les mesures biométriques, bien que gagnant en popularité, présentent des défis de sécurité importants : des empreintes digitales artificielles ont été authentifiées à l'aide de matériaux comme la gomme, le mastic, le cyanoacrylate et la photolithographie. Les biométries douces, telles que les schémas de frappe au clavier, offrent une certaine flexibilité mais nécessitent des périodes d'apprentissage et produisent des clés similaires lors de la révocation. Cette recherche propose que les mots de passe et les phrases de passe, combinés à la psychologie cognitive et sociale ainsi qu'à la psycholinguistique, offrent un schéma d'authentification révocable, mémorisable et sécurisé. L'innovation clé réside dans l'intégration de la vision que l'utilisateur a de lui-même dans le processus de sélection du mot de passe, renforçant ainsi la métaphore du secret partagé entre l'utilisateur et la machine.

2. Méthodologie

Authentifier avec succès un utilisateur auprès d'un système a traditionnellement été un domaine de recherche difficile mais fructueux. Initialement, l'authentification des utilisateurs protégeait des machines coûteuses et héritées. Aujourd'hui, l'objectif s'est déplacé vers la protection de systèmes plus petits et décentralisés comme les ordinateurs personnels, les ordinateurs portables, les PDA et les téléphones portables. L'essor de l'informatique ubiquitaire et l'interconnectivité accrue ont considérablement élargi la surface d'attaque. Les utilisateurs, gérant plusieurs comptes, se sentent submergés par les politiques de mots de passe. D'un point de vue théorique de l'information, les systèmes basés sur les mots de passe se décomposent sous les exigences cognitives. La relation plusieurs-à-un entre les cibles et les utilisateurs dresse une cible plus grande sur les utilisateurs, surtout compte tenu de la prévalence des mots de passe « préférés ». Cette recherche utilise un modèle théorique de l'information pour considérer l'authentification comme un secret partagé, renforcé par l'autoréférence de l'utilisateur.

3. Aperçu central : L'effet d'autoréférence dans l'authentification

L'aperçu central de cet article est que l'effet d'autoréférence — un phénomène cognitif bien documenté selon lequel les informations liées à soi-même sont plus facilement mémorisées — peut être exploité pour créer des mots de passe plus forts et plus mémorisables. En permettant aux utilisateurs de construire des mots de passe basés sur des récits personnels, des souvenirs ou des concepts de soi, le système transforme une chaîne aléatoire en un secret « étroitement détenu ». Cet investissement psychologique rend les utilisateurs plus susceptibles de protéger le mot de passe et moins enclins à l'écrire ou à le partager. L'article soutient que cette approche est « éphémère » car la force du mot de passe ne réside pas seulement dans sa composition de caractères, mais dans sa signification personnelle unique pour l'utilisateur, ce qui est difficile à reproduire ou à deviner pour un attaquant.

4. Logique : De la surcharge informationnelle à la sécurité cognitive

La logique de l'article est convaincante. Il commence par identifier le problème : la surcharge informationnelle due à des politiques de mots de passe multiples et complexes conduit à de mauvaises pratiques de sécurité (par exemple, la réutilisation des mots de passe, le fait de les écrire). Il critique ensuite les solutions existantes : les biométries dures sont falsifiables, les biométries douces nécessitent un apprentissage et compromettent les clés futures. L'article propose ensuite une solution : un système de mots de passe fondé sur la psychologie cognitive. L'argumentation se poursuit en montrant que les mots de passe autoréférentiels sont plus mémorisables (réduisant la charge cognitive) et plus sécurisés (car imprévisibles pour les tiers). La dernière étape consiste à encadrer cela dans la théorie de l'information, montrant que l'entropie d'un mot de passe autoréférentiel n'est pas seulement une fonction de ses caractères, mais du contexte personnel unique, qui est une forme d'« information privée » à laquelle un attaquant ne peut pas facilement accéder.

5. Forces et faiblesses : Une évaluation critique

Forces : La principale force de l'article est son approche interdisciplinaire, faisant le pont entre la sécurité informatique et la psychologie cognitive et sociale. Il offre une solution centrée sur l'humain à un problème humain, allant au-delà des correctifs purement techniques. Le concept du système en tant que « confident » est une métaphore puissante qui pourrait améliorer la conformité des utilisateurs et la posture de sécurité. Le modèle théorique de l'information fournit un cadre rigoureux pour analyser le système proposé.

Faiblesses : L'article est quelque peu théorique et manque de validation empirique à grande échelle. L'« effet d'autoréférence » est bien étudié dans la mémoire, mais son application à la sécurité des mots de passe nécessite davantage de tests en conditions réelles. Il existe un risque que les utilisateurs choisissent des mots de passe trop prévisibles en fonction de leur personnalité publique (par exemple, profils sur les réseaux sociaux). L'article ne traite pas entièrement de la nature « éphémère » du concept de soi — que se passe-t-il lorsque le récit personnel d'un utilisateur change ? Le système doit être robuste face aux changements personnels. De plus, l'article ne fournit pas d'algorithme concret ni de détails d'implémentation pour générer ou évaluer de tels mots de passe.

6. Recommandations pratiques : Conseils exploitables

Sur la base des conclusions de l'article, plusieurs recommandations pratiques émergent pour les professionnels de la sécurité et les concepteurs de systèmes :

  • Mettre en œuvre des invites de mots de passe autoréférentiels : Au lieu d'exigences de caractères aléatoires, guidez les utilisateurs pour créer des mots de passe basés sur des histoires personnelles, des souvenirs ou des valeurs. Par exemple, « Quel est un souvenir d'enfance qui a façonné la personne que vous êtes aujourd'hui ? »
  • Combiner avec des phrases de passe : Encouragez les utilisateurs à créer des phrases de passe qui sont de courts récits, plus faciles à retenir et plus difficiles à casser que des chaînes aléatoires.
  • Utiliser l'authentification adaptative : Pour les applications à haute sécurité, combinez les mots de passe autoréférentiels avec d'autres facteurs (par exemple, biométrie comportementale) pour créer un système multifacteur à la fois sécurisé et convivial.
  • Éduquer les utilisateurs : Formez les utilisateurs au concept de « sécurité cognitive » — expliquez pourquoi les mots de passe autoréférentiels sont plus forts et comment les créer sans révéler d'informations personnelles.
  • Mener des études pilotes : Avant un déploiement complet, réalisez des expériences contrôlées pour mesurer la mémorabilité et la sécurité des mots de passe autoréférentiels par rapport aux politiques traditionnelles.

7. Détails techniques et cadre mathématique

L'article utilise un modèle théorique de l'information pour quantifier la sécurité des mots de passe autoréférentiels. L'entropie $H$ d'un mot de passe est traditionnellement calculée comme $H = L \cdot \log_2(N)$, où $L$ est la longueur et $N$ la taille de l'ensemble de caractères. Cependant, l'article soutient que pour les mots de passe autoréférentiels, l'entropie effective est plus élevée car l'« alphabet » inclut le contexte personnel unique de l'utilisateur. Le modèle peut être étendu comme suit :

$$H_{total} = H_{char} + H_{self}$$

où $H_{char}$ est l'entropie basée sur les caractères et $H_{self}$ est l'entropie apportée par l'effet d'autoréférence, qui est une fonction de la connaissance privée de l'utilisateur. L'article suggère que $H_{self}$ peut être modélisé comme l'information mutuelle entre le mot de passe et le concept de soi de l'utilisateur, $I(Password; Self)$. Il s'agit d'une contribution novatrice qui quantifie la nature « étroitement détenue » du secret.

8. Résultats expérimentaux et explication schématique

Bien que l'article soit principalement théorique, il fait référence à des travaux antérieurs sur l'effet d'autoréférence dans la mémoire. Une explication schématique du système proposé est la suivante :

Figure 1 : Flux d'authentification autoréférentiel

Entrée utilisateur : « Mon premier chien était un golden retriever nommé Sunny. »
    |
    v
Traitement système :
    - Extraire les éléments clés : « premier chien », « golden retriever », « Sunny »
    - Appliquer une transformation : « SunnyGoldenRetriever2021! »
    - Stocker le hachage du mot de passe transformé
    |
    v
Authentification : L'utilisateur ressaisit la phrase, le système applique la même transformation, compare le hachage.

Résultats attendus (d'après la littérature en psychologie cognitive) : Les études sur l'effet d'autoréférence (par exemple, Rogers, Kuiper et Kirker, 1977) montrent que les informations autoréférentielles sont rappelées jusqu'à 50 % mieux que les informations traitées sémantiquement. Appliqué aux mots de passe, cela suggère que les utilisateurs auront significativement moins de demandes de réinitialisation de mot de passe et seront moins susceptibles d'écrire leurs mots de passe.

9. Exemple de cadre analytique

Considérons une utilisatrice, Alice, qui doit créer un mot de passe pour son compte de messagerie. Au lieu d'une politique aléatoire, le système lui demande de décrire une valeur personnelle. Alice écrit : « Je valorise l'honnêteté avant tout. » Le système transforme cela en une phrase de passe : « HonnêtetéAvantTout! » Cette phrase de passe fait 20 caractères, inclut des majuscules, des minuscules et un caractère spécial, lui donnant une entropie de caractères de $H_{char} = 20 \cdot \log_2(72) \approx 20 \cdot 6,17 = 123,4$ bits. Cependant, l'entropie d'autoréférence $H_{self}$ est encore plus élevée car un attaquant devrait connaître les valeurs personnelles d'Alice, qui ne sont pas accessibles publiquement. L'entropie totale est donc significativement plus élevée que celle d'un mot de passe aléatoire de 20 caractères, et Alice est susceptible de s'en souvenir car il a du sens pour elle.

10. Applications futures et orientations

Les principes décrits dans cet article ont des applications larges au-delà des systèmes de mots de passe traditionnels. Les orientations futures incluent :

  • Intégration avec les preuves à divulgation nulle de connaissance : Les mots de passe autoréférentiels pourraient être utilisés dans des protocoles d'authentification à divulgation nulle de connaissance, où l'utilisateur prouve la connaissance du secret sans le révéler.
  • Systèmes de sécurité adaptative : Des systèmes qui ajustent dynamiquement les exigences d'authentification en fonction de l'état cognitif de l'utilisateur ou de la sensibilité des données consultées.
  • Questions de sécurité personnalisées : Aller au-delà des questions de sécurité génériques (par exemple, « Quel est le nom de jeune fille de votre mère ? ») vers des questions véritablement personnelles et moins susceptibles d'être devinées à partir de registres publics.
  • Authentification unique (SSO) multiplateforme : Utiliser une seule phrase de passe autoréférentielle hautement mémorisable comme clé maîtresse pour plusieurs services, réduisant la fatigue liée aux mots de passe.
  • Génération de mots de passe assistée par IA : Utiliser le traitement du langage naturel pour aider les utilisateurs à créer des mots de passe autoréférentiels à la fois mémorisables et sécurisés, tout en évitant les pièges courants.

11. Analyse originale

Cet article de Pilson est une rupture provocatrice et nécessaire avec le discours fatigué et centré sur la technologie concernant la sécurité des mots de passe. L'argument central — que nous devrions exploiter l'effet d'autoréférence pour créer des secrets « étroitement détenus » — est à la fois élégant et psychologiquement solide. L'effet d'autoréférence est l'une des découvertes les plus robustes en psychologie cognitive (Symons et Johnson, 1997), et son application à l'authentification est un coup de génie. Cependant, la force de l'article est aussi sa faiblesse. Il s'agit d'un cadre conceptuel, pas d'une solution entièrement conçue. L'article manque d'un algorithme concret pour générer et vérifier les mots de passe autoréférentiels, et il ne traite pas de la question cruciale de l'évolutivité. Comment un système vérifie-t-il qu'un mot de passe est « autoréférentiel » sans stocker le récit personnel de l'utilisateur ? C'est un défi non trivial en matière de confidentialité et de sécurité.

De plus, la dépendance de l'article à la théorie de l'information, bien que rigoureuse, peut être trop optimiste. L'hypothèse selon laquelle $H_{self}$ est indépendant de $H_{char}$ est discutable. En pratique, les utilisateurs peuvent choisir des mots de passe autoréférentiels qui restent prévisibles (par exemple, en utilisant des événements de vie courants comme « diplôme » ou « mariage »). L'article bénéficierait d'une discussion plus nuancée sur la nature « éphémère » du concept de soi. Comme l'ont noté Markus et Wurf (1987), le concept de soi est dynamique et dépendant du contexte. Un mot de passe basé sur une « valeur fondamentale » peut être stable, mais un mot de passe basé sur un « objectif actuel » peut changer fréquemment, entraînant des réinitialisations de mot de passe.

Malgré ces défauts, la contribution de l'article est significative. Il ouvre une nouvelle direction de recherche : la « sécurité cognitive ». Cela s'aligne sur les tendances plus larges de l'interaction homme-machine et de la sécurité utilisable. L'appel de l'article à considérer le système comme un « confident » est un principe de conception puissant qui pourrait transformer les attitudes des utilisateurs envers la sécurité. À une époque de menaces cybernétiques croissantes, cette approche centrée sur l'humain n'est pas seulement innovante — elle est essentielle. La prochaine étape pour les chercheurs est de s'appuyer sur ce cadre, de mener des études utilisateur à grande échelle et de développer des implémentations pratiques qui équilibrent sécurité, mémorabilité et confidentialité.

12. Références

  • Pilson, C. S. (2021). Tightly-Held and Ephemeral Psychometrics: Password and Passphrase Authentication Utilizing User-Supplied Constructs of Self. arXiv preprint arXiv:1509.01662v1.
  • Rogers, T. B., Kuiper, N. A., & Kirker, W. S. (1977). Self-reference and the encoding of personal information. Journal of Personality and Social Psychology, 35(9), 677–688.
  • Symons, C. S., & Johnson, B. T. (1997). The self-reference effect in memory: A meta-analysis. Psychological Bulletin, 121(3), 371–394.
  • Markus, H., & Wurf, E. (1987). The dynamic self-concept: A social psychological perspective. Annual Review of Psychology, 38, 299–337.
  • Shannon, C. E. (1948). A mathematical theory of communication. The Bell System Technical Journal, 27(3), 379–423.
  • Adams, A., & Sasse, M. A. (1999). Users are not the enemy. Communications of the ACM, 42(12), 40–46.
  • Yan, J., Blackwell, A., Anderson, R., & Grant, A. (2004). Password memorability and security: Empirical results. IEEE Security & Privacy, 2(5), 25–31.