Un système d’authentification qui exploite les limites des capacités cognitives humaines [pdf]
(users.cs.duke.edu)-
Article de Vincent Conitzer, professeur d’informatique à Carnegie Mellon
-
En général, on considère les limites des capacités cognitives humaines comme un défaut, mais l’idée proposée ici est au contraire d’exploiter ces limites pour des usages comme la prévention des connexions multiples ou l’authentification sans données biométriques
-
Voici quelques exemples présentés dans l’article
1. Un système qui ne peut être validé qu’une seule fois au départ en utilisant un test d’association de photos de visages. Il exploite la faiblesse cognitive selon laquelle l’être humain ne peut pas effacer volontairement ses souvenirs.
- On montre des dizaines de photos de visages et on demande s’il s’agit d’un visage vu pour la première fois « dans ce test ». Lors du premier test, il est facile de répondre correctement.
- Lors du deuxième test, certaines photos sont remplacées puis le test est relancé. Comme le souvenir des photos vues au test précédent reste dans le cerveau, cela crée de la confusion, et le score devrait être plus faible que lors du premier test.
- Cependant, dans l’expérience réelle, certaines personnes ont vu leur score baisser, d’autres sont restées au même niveau, et d’autres encore ont au contraire obtenu un meilleur score.
2. Une authentification à distance qui n’utilise pas de données biométriques. L’authentification repose sur un jeu personnalisé.
-
On conçoit un jeu avec des niveaux de difficulté allant de 1 à 10. Si la difficulté est réglée de façon qu’il soit impossible de terminer le niveau 10 sans avoir progressé pas à pas depuis le niveau 1, alors le fait de pouvoir terminer le niveau 10 devient un indicateur permettant d’identifier une personne, ce qui rend l’authentification possible sans utiliser de biometric.
-
Les exemples ci-dessus peuvent toutefois être piratés avec l’aide de notes, d’amis ou d’une IA, ce qui nécessite une conception plus sophistiquée.
8 commentaires
À part ça, je me suis connecté à Rockstar Games, qui a créé GTA, pour me réauthentifier pour la première fois depuis longtemps, et là il a fallu résoudre 10 questions à choix parmi 6 images de paires de dés dont la somme fait 13. J’étais pourtant persuadé d’avoir tout juste, mais comme ce n’était pas un système qui affichait un échec en cours de route dès qu’on se trompait une fois, j’ai échoué deux fois et j’ai dû faire 30 questions au total. Pff, c’était vraiment pénible.
Je me souviens que quelqu’un parlait autrefois de métacognition et disait ceci : si on demande « Quelle est la 7e plus grande ville du Pérou ? », le fait de répondre ou de se mettre à chercher indiquerait que c’est un bot ou une IA. Un humain sait en une seconde qu’il ne connaît pas la réponse. Ça m’y fait repenser.
Je l’ai vu dans l’une des interventions du professeur Kim Kyung-il. Je ne sais pas si c’est de lui à l’origine ou s’il le citait, mais il le mentionne dans l’une de ses présentations sur YouTube.
Autrefois, j’avais trouvé intéressante une étude sur l’authentification basée sur la vitesse de saisie d’un mot de passe.
Par exemple, pour un mot de passe de 10 caractères, si c’est la même personne, le schéma comportemental selon lequel certains caractères sont saisis plus vite et d’autres plus lentement reste globalement similaire à chaque fois, et sert donc à l’authentification.
J’avais été surpris de voir que c’était plus précis que je ne l’imaginais.
J’ai l’impression que certains programmes de CAPTCHA ne demandant pratiquement aucune saisie à l’utilisateur fonctionnent peut-être d’une manière similaire.
Oh, l’idée de l’évaluer à partir des habitudes de frappe est intéressante aussi.
Les exemples présentés dans l’article ne sont pas pratiques, mais j’ai trouvé l’idée fascinante : considérer les limites des capacités cognitives humaines non pas comme une faiblesse, mais comme une caractéristique propre à l’être humain, et les exploiter — j’en ai donc fait un résumé.
Comme vous le dites, ce changement de perspective est impressionnant.