FR2941833A1 - Serveur, systeme et procede d'authentification a partir de mots de passe dynamiques. - Google Patents

Serveur, systeme et procede d'authentification a partir de mots de passe dynamiques. Download PDF

Info

Publication number
FR2941833A1
FR2941833A1 FR0950670A FR0950670A FR2941833A1 FR 2941833 A1 FR2941833 A1 FR 2941833A1 FR 0950670 A FR0950670 A FR 0950670A FR 0950670 A FR0950670 A FR 0950670A FR 2941833 A1 FR2941833 A1 FR 2941833A1
Authority
FR
France
Prior art keywords
server
counter
length
synchronization
word
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR0950670A
Other languages
English (en)
Other versions
FR2941833B1 (fr
Inventor
Nicolas Devillard
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Idemia France SAS
Original Assignee
Oberthur Technologies SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oberthur Technologies SA filed Critical Oberthur Technologies SA
Priority to FR0950670A priority Critical patent/FR2941833B1/fr
Publication of FR2941833A1 publication Critical patent/FR2941833A1/fr
Application granted granted Critical
Publication of FR2941833B1 publication Critical patent/FR2941833B1/fr
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0846Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/102Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measure for e-commerce

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

Ce serveur (14) comprend des moyens (24) de génération d'une version d'un mot de passe dynamique de longueur prédéfinie sur la base d'au moins une valeur d'un premier compteur (22) propre au serveur (14), pour la vérification de la correspondance de cette version avec un mot susceptible d'être généré sur la base d'au moins une valeur d'un deuxième compteur externe au serveur (14). Plus précisément, le serveur (14) comprend des moyens (76) de synchronisation du premier compteur (22) par rapport au deuxième compteur (48), configurés pour être commandés : - en fonction de la réception, par le serveur (14), d'un mot ayant une longueur, dite longueur de synchronisation, supérieure à la longueur prédéfinie, et - en fonction de la vérification du respect d'un critère prédéfini lié au mot de longueur de synchronisation.

Description

La présente invention concerne le domaine technique de l'authentification d'utilisateurs au moyen de mots de passe dynamiques. Pour authentifier un utilisateur d'un service ou d'une machine, pour initialiser des sessions d'authentification ou d'identification de transactions électroniques, il est connu d'utiliser des mots de passe dynamiques ou mots de passe à usage unique, désignés également par OTP (acronyme de l'expression anglo-saxonne de One Time Password ). Généralement, un mot de passe dynamique n'est valable qu'une seule fois et ne peut être réutilisé. Ainsi, dans le cas où une personne malintentionnée intercepte un tel mot de passe et tente de l'utiliser pour accéder à un service, sa requête sera refusée car le mot de passe sera déjà périmé. Il est possible de générer un mot de passe dynamique par exemple au moyen d'un dispositif électronique d'authentification, dit également terminal OCP (acronyme pour Objet Cryptographique Personnel). Ce terminal génère le mot de passe sur la base d'une valeur d'un compteur propre au terminal via un algorithme cryptographique. A chaque mot de passe généré par le terminal OCP, le compteur de ce terminal est incrémenté d'une unité. L'utilisateur accède ensuite au service désiré auprès du serveur d'authentification avec son mot de passe. Le serveur d'authentification comprend des moyens de génération d'une version du mot de passe sur la base d'une valeur d'un compteur propre au serveur pour la vérification de la correspondance de sa version de mot de passe avec le mot de passe reçu par le serveur. Ainsi, pour générer les mots de passe, le serveur et le terminal utilisent le même algorithme cryptographique de manière à ce que, pour une même valeur des deux compteurs, la version du mot de passe et le mot de passe ainsi générés soient identiques.
Toutefois, du fait que les deux compteurs sont distincts et ne communiquent pas entre eux, il est possible qu'une désynchronisation des compteurs se produise. Ainsi, il se peut qu'un mot de passe soit généré par le terminal OCP sans être envoyé au serveur, par exemple suite à la génération involontaire d'un OTP par l'utilisateur. Dans ce cas, le premier compteur propre au terminal OCP est incrémenté d'une unité de comptage voire de plusieurs unités alors que le deuxième compteur propre au serveur ne l'est pas. II s'ensuit que le serveur d'authentification peut refuser à l'utilisateur, après un certain nombre de tentatives d'authentification infructueuses, par exemple trois, l'accès au service souhaité, du fait que la correspondance entre les versions générées par le serveur et les mots de passe reçus n'est plus vérifiée. Pour remédier à cet inconvénient, on a proposé dans l'état de la technique de réaliser une synchronisation des compteurs à l'initiative du serveur. Le serveur d'authentification est ainsi automatiquement commuté d'une configuration d'authentification en une configuration synchronisation des compteurs par exemple après trois tentatives d'authentification sans succès.
Dans cette configuration de synchronisation, le serveur d'authentification recherche dans une fenêtre de valeurs de compteur supérieures à la valeur actuelle du compteur, l'identité des versions de mots de passe qu'il génère à partir des valeurs comprises dans cette fenêtre avec l'un ou plusieurs des mots de passe qu'il reçoit lors des tentatives d'authentification.
Par exemple, la fenêtre peut avoir une largeur d'une dizaine de valeurs. Dans le cas où l'identité est vérifiée, le serveur incrémente son propre compteur de manière à ce que la valeur du compteur associée au dernier mot de passe reçu soit considérée comme la valeur de référence. L'inconvénient d'un tel système d'authentification est que son fonctionnement en configuration de synchronisation a pour effet de diminuer le niveau de sécurité du système.
En effet, alors qu'avec un mot de passe de longueur de six caractères numériques, la probabilité qu'un mot de passe quelconque envoyé au serveur soit exact est d'une chance sur un million, en configuration de synchronisation, cette probabilité est augmentée d'un facteur égal à trente et donc le niveau de sécurité du système en est réduit d'autant. En effet, les trois tentatives multiplient d'un facteur trois la probabilité qu'un mot de passe quelconque envoyé au serveur soit exact et la recherche sur une fenêtre d'une dizaine de valeurs multiplie d'un facteur dix cette même probabilité.
En outre, une désynchronisation des compteurs dépassant dix valeurs ne peut pas être corrigée par l'utilisateur avec une fenêtre d'une dizaine de valeurs ce qui présente un inconvénient certain. La taille de la fenêtre ne peut pas être augmentée car plus la fenêtre de recherche est grande, plus la perte en niveau de sécurité est importante.
Par ailleurs, alors que l'utilisateur effectue trois tentatives d'authentification infructueuses suite auxquelles le serveur envoie un message d'erreur, ce dernier peut finalement valider, contre toute attente, l'authentification après avoir commuté automatiquement en configuration de synchronisation. ' En effet, dans cette configuration, le serveur recherche, parmi une suite d'une dizaine de versions de mots de passe générées sur la base d'une fenêtre de recherche d'une dizaine de valeurs consécutives, une identité entre l'un des mots de passe reçus au cours des trois tentatives et l'une des versions de la suite ainsi générée. Si une telle identité est vérifiée, le serveur envoie un message de validation de l'authentification alors que cette dernière était refusée à l'utilisateur auparavant. Par conséquent, cela donne une impression d'un système non fiable qui, de façon inattendue, valide l'authentification après avoir émis un message d'interdiction d'accès.
L'invention a notamment pour but de permettre la synchronisation des compteurs d'un terminal et d'un serveur dans un système d'authentification sans nuire à la sécurité de l'authentification.
A cet effet, l'invention a pour objet un serveur d'authentification à partir de mots de passe dynamiques de longueur prédéfinie, comprenant des moyens de génération d'une version d'un mot de passe dynamique sur la base d'au moins une valeur d'un premier compteur propre au serveur, pour la vérification de la correspondance de cette version avec un mot susceptible d'être généré sur la base d'au moins une valeur d'un deuxième compteur externe au serveur, caractérisé en ce que le serveur comprend des moyens de synchronisation du premier compteur par rapport au deuxième compteur, configurés pour être commandés : - en fonction de la réception, par le serveur, d'un mot ayant une longueur, dite longueur de synchronisation, supérieure à la longueur prédéfinie, et en fonction de la vérification du respect d'un critère prédéfini lié au mot de longueur de synchronisation.
Un serveur d'authentification est, au sens de l'invention, une machine ou un programme qui offre un service d'authentification à un client. Un serveur comprend notamment des moyens, tels que par exemple un logiciel, apte à communiquer selon un mode client-serveur avec un autre logiciel dit client , selon un protocole de communication prédéfini, pour la fourniture d'un service au client. De tels moyens peuvent par exemple être incorporés dans un module de carte à puce, dans un ordinateur ou sur n'importe quel support. Par longueur de mot, on entend dans la suite de la description et au sens de l'invention, le nombre de caractères de la chaîne de caractères formant le mot. Grâce à l'invention, la commutation du serveur en configuration de synchronisation est à l'initiative de l'utilisateur et non plus du serveur et ce de manière relativement simple pour l'utilisateur. En effet, un utilisateur, souhaitant synchroniser les compteurs, saisit un mot ayant une longueur égale à la longueur de synchronisation. Le serveur note que la longueur du mot reçu est égale à la longueur de synchronisation et commute en configuration de synchronisation.
Par ailleurs, du fait que le mot de passe à rentrer a une longueur de synchronisation supérieure à la longueur prédéfinie, le niveau de sécurité est augmenté d'au moins un facteur dix. Bien entendu, pour obtenir un niveau de sécurité équivalent voire supérieur au niveau de sécurité proposé dans l'état de la technique, le critère prédéfini doit être choisi de manière à imposer un niveau de contrainte supérieur ou au moins équivalent à celui de l'état de la technique. Le serveur recherche ainsi parmi les mots de passe qu'il génère avec son compteur, un mot de passe de la longueur de synchronisation qui vérifie le critère prédéfini. Par ailleurs, un serveur selon l'invention permet de mettre à profit une interface homme-machine déjà existante pour l'authentification. Ainsi, qu'un utilisateur souhaite s'authentifier ou synchroniser les compteurs, il saisit le mot de passe dans un même champ de saisie en faisant seulement varier la longueur du mot. Un serveur d'authentification selon l'invention permet d'effectuer une synchronisation des compteurs avec un niveau équivalent au niveau de sécurité de l'état de la technique tout en étant simple d'utilisation. Par ailleurs, de préférence, le critère est respecté en cas de correspondance du mot de longueur de synchronisation avec au moins une partie, de longueur de synchronisation, du résultat de la concaténation d'au moins deux versions de mots de passe dynamiques susceptibles d'être générées successivement par le serveur. De préférence, la longueur de synchronisation est supérieure ou égale au double de la longueur prédéfinie. Dans ce cas, le critère est vérifié lorsque le mot de synchronisation reçu par le serveur est formé par un ensemble de deux mots de passe concaténés entre eux et générés sur la base de deux valeurs successives du compteur du terminal externe.
L'utilisateur peut donc facilement commuter le serveur dans une configuration de synchronisation sans recourir à des équipements spécifiques supplémentaires mais simplement en demandant à son terminal externe de générer deux mots de passe successifs, de préférence, consécutifs, au lieu d'un seul et d'envoyer ces mots de passe au sein d'une même requête au serveur. Ainsi, le serveur commuté en configuration de synchronisation recherche la correspondance entre le mot de longueur de synchronisation qu'il reçoit et des versions de mots de passe parmi une suite de versions de mots de passe qu'il génère à partir de valeurs successives et de préférence consécutives de compteur comprises dans une fenêtre de recherche prédéterminée.
Le respect du critère prédéfini est par exemple vérifié lorsque dans cette suite de versions de mots de passe, au moins une partie, de longueur de synchronisation, du résultat de la concaténation de deux versions de mots de passe consécutives correspond au mot reçu. Ce critère assure donc une sécurité relativement importante puisque la probabilité de déterminer un tel mot de longueur de synchronisation (par exemple douze caractères numériques), par exemple égale au double de la longueur prédéfinie, en considérant une fenêtre de recherche de mille valeurs de compteur est seulement d'une chance sur 109. Par conséquent, grâce à un serveur selon l'invention, il est possible d'obtenir la synchronisation des compteurs de manière simple, efficace et avec un niveau de sécurité supérieur à celui proposé par l'état de la technique tout en augmentant les chances de resynchroniser les compteurs. Un serveur selon l'invention peut en outre comporter l'une ou plusieurs des caractéristiques selon lesquelles : le critère est respecté en cas de correspondance du mot de longueur de synchronisation avec la partie de longueur de synchronisation du résultat de la concaténation d'au moins de première et deuxième versions générées sur la base respectivement de première et deuxième valeurs consécutives du premier compteur ; le serveur comprend des moyens de recherche de la partie de longueur de synchronisation des versions de mot de passe d'une suite générée sur la base d'une fenêtre de recherche prédéterminée de valeurs consécutives du premier compteur ; les première et deuxième valeurs sont supérieures à une valeur initiale du premier compteur, avant synchronisation ; les moyens de synchronisation sont aptes à commander l'incrémentation du premier compteur d'une unité de comptage à partir de la deuxième valeur, lorsque la deuxième valeur est supérieure à la première valeur, en cas de vérification du critère ; les premier et deuxième compteurs ont des valeurs à croissance monotone avec le nombre de mots de passe ou versions de mots générés ; le serveur comprend des moyens de mémorisation d'une clé secrète partagée entre le serveur et un terminal externe comprenant le deuxième compteur et dans lequel les moyens sont aptes à générer la version du mot sur la base de la clé secrète via un algorithme cryptographique ; le serveur comprend des moyens de couplage d'un processeur à une interface homme-machine comprenant un champ de saisie d'un mot commun aux mots de longueur de synchronisation et de longueur prédéfinie. L'invention a encore pour objet un système d'authentification à partir de mots de passe dynamiques, comprenant un terminal et un serveur d'authentification, dans lequel le terminal comprend des moyens de génération de mots de passe dynamiques sur la base d'au moins une valeur d'un premier 25 compteur propre au serveur, caractérisé en ce que le serveur est selon l'invention et le compteur du terminal est le deuxième compteur. L'invention a enfin pour objet un procédé d'authentification à partir de mots de passe dynamiques de longueur prédéfinie, comprenant une étape de génération par un serveur d'authentification d'une version d'un mot de passe 30 de dynamique sur la base d'une valeur d'un premier compteur propre au serveur pour la vérification de la correspondance de cette version avec un autre mot susceptible d'être généré à partir d'un deuxième compteur externe au 10 15 20 serveur, caractérisé en ce que le procédé comprend en outre une étape de commande de la synchronisation du premier compteur par rapport au deuxième compteur : en fonction de la réception par le serveur d'un mot ayant une 5 longueur, dite longueur de synchronisation, supérieure à la longueur prédéfinie, et en fonction de la vérification d'un critère prédéfini lié au mot de synchronisation. Un procédé selon l'invention peut en outre comporter l'une ou 10 plusieurs des caractéristiques selon lesquelles : - le critère est respecté en cas de correspondance du mot de longueur de synchronisation avec au moins une partie, de longueur de synchronisation, du résultat de la concaténation d'au moins deux versions de mots de passe dynamiques susceptibles 15 d'être générées successivement par le serveur ; le procédé comprend une étape de recherche de la partie de longueur de synchronisation parmi une suite de versions de mot de passe générée sur la base d'une fenêtre de recherche prédéterminée de valeurs consécutives du premier compteur ; 20 - l'étape de synchronisation comprend une étape d'incrémentation du premier compteur d'une unité de comptage à partir de la deuxième valeur, lorsque la deuxième valeur est supérieure à la première valeur ; la longueur de synchronisation est supérieure ou égale ou double 25 de la longueur prédéfinie ; le deuxième compteur est propre à un terminal externe au serveur et apte à générer des mots de passe au moyen de ce deuxième compteur. D'autres caractéristiques et avantages de l'invention apparaîtront à la 30 lumière de la description qui suit, faite en référence aux dessins annexés dans lesquels : - la figure 1 représente une installation de fourniture d'un service à un utilisateur comprenant un système d'authentification selon un premier mode de réalisation de l'invention ; - la figure 2 représente une carte SIM d'un terminal du système de la figure 1 comprenant des moyens de génération de mots de passe dynamiques ; la figure 3 représente un terminal d'un système d'authentification selon un deuxième mode de réalisation de l'invention ; la figure 4 représente une interface homme-machine d'un serveur d'authentification du système de la figure 1 ; la figure 5 représente un organigramme illustrant l'enchaînement des étapes d'un procédé d'authentification mis en oeuvre dans le système d'authentification de la figure 1. On a représenté sur la figure 1 une installation désignée par la référence générale 10. Dans l'exemple décrit, l'installation 10 est destinée à fournir un service à un utilisateur de manière sécurisée. A cet effet, l'installation 10 comprend un système 12 d'authentification de l'utilisateur. Ce système 12 permet d'authentifier un utilisateur à partir de mots de passe dynamiques. De façon classique, le mot de passe comprend une chaîne de caractères alphanumériques dont le nombre de caractères détermine la longueur du mot. Dans cet exemple, l'authentification est réalisée à partir de mots de passe ayant une longueur prédéfinie, par exemple une longueur de six caractères numériques. Le système d'authentification 12 comprend encore un serveur 14 d'authentification. Ce serveur d'authentification 14 comprend un processeur 18, des moyens 20 de mémorisation de données, notamment de données d'authentification. Le serveur d'authentification 14 comprend en outre un compteur 22 qui lui est propre, appelé par la suite premier compteur 22. Le serveur d'authentification 14 comprend également des moyens 24 de génération d'une version V , propre au serveur 14, d'au moins un mot de passe dynamique sur la base d'une valeur du premier compteur 22.
Afin de calculer des versions V de mots de passe dynamiques, les moyens de génération 24 comprennent des moyens de calcul de versions de mots de passe à partir d'un algorithme cryptographique prenant pour paramètres d'entrée une valeur du premier compteur 22 ainsi qu'une clé secrète 26 mémorisée dans les moyens 20. L'algorithme cryptographique est par exemple mémorisé dans les moyens 20. Ces versions de mots de passe V ainsi générées sont destinées à être comparées avec des mots de passe M susceptibles d'être reçus par le serveur 14 et destinés à l'authentification de l'utilisateur. Ainsi, le serveur 14 comprend également des moyens 28 de vérification de la correspondance de sa version propre du mot de passe V avec un mot de passe M susceptible d'être généré sur la base d'une valeur d'un deuxième compteur externe 48 au premier compteur 22. Ces moyens 28 sont aptes à comparer la version d'un mot de passe V générée par le serveur 14 avec le mot de passe M reçu par ce même serveur 14 et émis par un utilisateur souhaitant être authentifié. Dans cet exemple, les mots de passe dynamiques M servant à l'authentification de l'utilisateur sont générés par un terminal externe 30 comprenant le deuxième compteur 48. Un tel terminal 30 est également appelé OTP token . Dans l'exemple illustré sur la figure 1, le terminal 30 est un téléphone mobile comprenant de façon classique un boîtier 32, incorporant notamment un écran d'affichage 34 ainsi qu'un clavier 36. Le téléphone 30 est apte à échanger des données entre un serveur distant (non représenté) par l'intermédiaire d'un réseau de téléphonie mobile de type par exemple GSMIGPRS non représenté sur les figures. A cet effet, le terminal 30 comprend une antenne 38 et un processeur de bande de base 40 pour l'échange des données sécurisées et pour l'émission et la réception de paquets de données. Par souci de simplification, les autres éléments matériels et logiciels classiquement présents dans le téléphone mobile n'ont pas été représentés sur la figure 1.
En outre, comme cela est illustré de façon schématique sur cette figure 1, le téléphone 30 comprend encore une carte 42 d'identification au réseau de téléphonie mobile. Cette carte d'identification 42, dite également de façon générale carte SIM (acronyme anglais pour Subscriber Identity Card Module ) ou carte USIM (pour Universal Subscriber Identity Module encore appelée carte UICC pour UMTS Integrated Circuit Card ) ou plus généralement carte RUIM (pour "Removable Universal Identity Module"), est de façon générale une carte à microcircuit ou carte à puce. On a représenté sur la figure 2 en détail la carte SIM 42 du téléphone mobile 30. Cette carte SIM 42 comprend un microprocesseur 44 permettant de réaliser des fonctions variées notamment relatives à la communication de données, une mémoire 46, par exemple une mémoire non volatile et le deuxième compteur propre 48 au terminal 30 porté dans cet exemple par la carte SIM 42.
De préférence, le microprocesseur 44 est apte à calculer un mot de passe dynamique M via un algorithme cryptographique qui prend en argument d'entrée une clé secrète 26, partagée avec le serveur 14, stockée dans la mémoire 46 de la carte 42 et une valeur du deuxième compteur 48. La carte SIM 42 comprend également des moyens 50 d'incrémentation du compteur 48 à chaque nouveau calcul effectué par le microprocesseur 44. Par exemple, une application client OTP 52 a été téléchargée par un opérateur du réseau de téléphonie mobile dans la mémoire 46 de la carte SIM 42. Cette application 52 comprend notamment un algorithme cryptographique prenant en argument la clé 26 et une valeur du compteur 48 pour calculer le mot de passe dynamique. Ainsi, comme la clé secrète 26 et l'algorithme sont partagés par le terminal 30 et le serveur d'authentification 14, pour une même valeur des deux compteurs 22 et 48, la version propre V au serveur 14 et le mot de passe M généré par le terminal 30 sont identiques et les compteurs 22 et 48 sont alors synchronisés. En revanche, en cas de discordance de la version propre V et du mot de passe M , les compteurs 22 et 48 sont désynchronisés.
De préférence, les premier 22 et deuxième 48 compteurs ont des valeurs à croissance monotone avec le nombre de mots de passe ou versions de mots générés. Par exemple, la valeur des compteurs 22 et 48 augmentent d'une unité à chaque mot de passe ou version de mot de passe généré.
Le terminal externe 30 comprend également des moyens de fourniture du mot de passe généré à l'utilisateur tel que par exemple un LCD (acronyme pour l'expression anglo-saxonne Liquid Crystal Display ) formé par l'écran du téléphone mobile 30 ou un écouteur. Dans un deuxième mode de réalisation de l'invention illustré par la figure 3, le terminal 30 est un dispositif portable spécifiquement dédié à la génération de mots de passe dynamiques. Ce dispositif 30 comprend un boîtier 51 et est muni d'une touche 52 d'activation du dispositif 30, d'un afficheur 54 permettant l'affichage d'une séquence de caractères ou de chiffres du mot de passe M .
Dans un troisième mode de réalisation non illustré sur les figures, le terminal externe 30 peut comprendre un microcontrôleur formé par une puce incorporée dans un corps en plastique de carte à puce. Dans l'exemple décrit, le système 12 permet l'authentification de l'utilisateur à un service VPN (acronyme de l'expression anglo-saxonne pour Virtual Promote Network). Ce service est par exemple accessible à partir d'un serveur VPN local 56 d'une entreprise. Ainsi, comme cela est représenté sur la figure 1, le serveur VPN 56 est relié par l'intermédiaire d'un réseau local 58 au serveur d'authentification 14. A cet effet, l'installation 10 comprend par exemple un ordinateur personnel 60 à la disposition de l'utilisateur formant une interface homme- machine de l'utilisateur avec les serveurs VPN 56 et d'authentification 14. Cet ordinateur 60 est relié au serveur VPN 56 par l'intermédiaire d'un réseau internet classique 62. Cet ordinateur 60 comprend un écran d'affichage 64 ainsi qu'un clavier 66 représentés sur la figure 1.
Comme cela est représenté sur la figure 3, l'écran 64 est muni d'une fenêtre 68 d'interface homme-machine comprenant notamment un champ de saisie 70 d'une chaîne de caractères alphanumériques ainsi qu'une touche Validation 72 permettant de valider la saisie du mot de passe. Par exemple, le serveur 14 comprend des moyens de couplage de son processeur 18 à l'interface homme-machine 68.
Cette fenêtre 68 apparaît lors de l'initialisation d'une session d'authentification. Le champ de saisie 70 est de préférence commun à la saisie des mots de longueur de synchronisation et de longueur prédéfinie. En outre, dans cet exemple, l'écran 64 comporte des champs de saisie de mots de passe fixes (c'est-à-dire qui est identique à chaque nouvelle session contrairement à un mot de passe dynamique) tel qu'un champ de saisie 71 d'un nom d'utilisateur et un champ de saisie 73 d'un mot de passe fixe associé au nom d'utilisateur. Eventuellement, en variante, ce mot de passe fixe peut être saisi à la fin ou au début du mot de passe dynamique dans le champ de saisie 70.
Par ailleurs, le serveur 14 comprend également des moyens 74 de synchronisation du premier compteur 22 par rapport au deuxième compteur 48 externe au serveur 14. Ces moyens de synchronisation 74 sont configurés pour être commandés en fonction de la réception, par le serveur 14, d'un mot ayant une longueur, dite longueur de synchronisation, supérieure à la longueur prédéfinie et en fonction de la vérification d'un critère lié au mot de longueur de synchronisation. Ainsi, lorsque le mot reçu par le serveur 14 a une longueur égale à la longueur prédéfinie, les moyens de synchronisation 74 ne sont pas activés et le serveur 14 fonctionne conformément à une configuration dite d' authentification . Lorsque le mot a une longueur égale à la longueur de synchronisation, les moyens de synchronisation 74 sont activés et le serveur 14 fonctionne conformément à une configuration dite de synchronisation . En particulier, en cas de respect du critère prédéfini par le mot de longueur de synchronisation, les moyens 74 sont aptes à commander la synchronisation des compteurs 22 et 48.
Ainsi, si le critère est vérifié, les moyens de synchronisation 74 commandent la synchronisation des compteurs 22 et 48 par incrémentation du compteur propre au serveur 14 d'un nombre de valeurs dépendant de l'état initial du premier compteur propre 22 au serveur 14 par rapport à l'état du deuxième compteur 48 propre au terminal 30. Dans le cas contraire, aucune synchronisation n'est réalisée. Ainsi, les compteurs 22 et 48 ne peuvent être synchronisés que si le critère est vérifié. En effet, le seul fait d'entrer un mot de longueur de synchronisation permet de commuter le serveur 14 de la configuration d'authentification en configuration de synchronisation par activation des moyens de synchronisation 74 pour qu'une tentative de synchronisation soit réalisée à partir du mot reçu. La synchronisation des compteurs 22 et 48 est par ailleurs commandée par vérification du respect du critère par le mot de synchronisation.
Cette synchronisation consiste à rechercher parmi des versions de mots de passe V générées sur la base de valeurs du compteur 22 du serveur 14, une ou des versions répondant au critère de sécurité prédéfini. En outre, dans l'exemple décrit, dans le cas où un mot de passe a une longueur distincte de la longueur prédéfinie et de la longueur de synchronisation, aucune des configurations d'authentification ou de synchronisation n'est exécutée. Le serveur 14 est apte à envoyer par exemple un message d'échec de l'authentification en réponse à une telle situation. De préférence, la longueur de synchronisation est supérieure ou égale au double de la longueur prédéfinie. Par exemple, pour une longueur prédéfinie de six caractères numériques, la longueur de synchronisation est de douze caractères numériques. De préférence, le critère à respecter est la correspondance du mot de longueur de synchronisation avec une partie d'un ensemble comprenant au moins des versions V de premier et deuxième mots de passe concaténées entre elles et générées sur la base d'au moins deux valeurs successives du premier compteur 22.
Dans l'exemple décrit et de préférence, le critère est respecté en cas de correspondance du mot de longueur de synchronisation avec la partie de longueur de synchronisation du résultat de la concaténation d'au moins deux versions V concaténées entre elles générées sur la base d'au moins des première et deuxième valeurs consécutives du premier compteur 22. En variante, éventuellement, les moyens de synchronisation 74 peuvent être commandés en fonction de la réception de mots de passe de longueurs distinctes mais dont la longueur est supérieure à la longueur prédéfinie. Par exemple, la longueur de synchronisation est égale à dix caractères et le critère prédéfini est respecté lorsque le mot de longueur de synchronisation est formé par exemple par la concaténation d'un premier mot de passe et des quatre premiers caractères d'un deuxième mot de passe. A cet effet, le serveur 14 comprend de préférence des moyens 75 de recherche de la partie de longueur de synchronisation dans une suite de versions de mots de passe générée sur la base d'une fenêtre de valeurs consécutives du compteur de mille valeurs. De préférence, la fenêtre de recherche a une taille inférieure à 10x où X est la différence de caractères séparant la longueur de synchronisation et la longueur prédéfinie. Ceci permet de maintenir un niveau de sécurité équivalent à celui procuré par la configuration d'authentification. En effet, pour une longueur de synchronisation de dix caractères, la fenêtre de recherche doit avoir une taille inférieure à 104 pour maintenir un niveau de sécurité égal à 106. Le serveur d'authentification 14 comprend également des moyens 76 25 d'incrémentation du compteur 22 à chaque fois qu'une version de mot de passe V est générée par les moyens 24. De préférence, les moyens 76 sont aptes à commander l'incrémentation du premier compteur 22 d'une unité de comptage à partir de la deuxième valeur, lorsque la deuxième valeur est supérieure à la première 30 valeur. On va maintenant décrire plus en détail les principaux aspects du fonctionnement d'un système d'authentification selon l'invention en référence à la figure 5 illustrant la succession des principales étapes du procédé d'authentification. L'utilisateur souhaite accéder au service VPN de son entreprise. Initialement, l'utilisateur met en marche son ordinateur personnel 60. Ce dernier est connecté directement au serveur VPN 56 de l'entreprise lui-même connecté au serveur d'authentification 14 de l'utilisateur. Au cours d'une étape 100, le serveur d'authentification 14 initialise une session d'authentification et une interface homme-machine 64 apparaît sur l'écran de l'ordinateur personnel 56 comme cela est illustré par la figure 3.
Au cours d'une étape 102, l'utilisateur demande à son terminal mobile 30 de générer au moins un mot de passe dynamique M ou deux selon la nature de configuration de fonctionnement désirée. En particulier, dans le cas où l'utilisateur prévoit de lancer la configuration de synchronisation des compteurs, il demande à son terminal 30 de générer deux mots de passe consécutifs. Puis, au cours d'une étape 104, l'utilisateur saisit les caractères de ce ou ces mots de passe dans le champ de saisie 70 de l'interface homme-machine du système d'authentification 12 et en valide la saisie en cliquant, par exemple avec sa souris d'ordinateur, sur la touche 72.
Ensuite, au cours d'une étape 106, l'ordinateur 60 envoie ce message au serveur d'authentification 14 par l'intermédiaire des réseaux internet 62 et local 58 et le serveur 14 détermine au cours d'une étape 108 la configuration à exécuter en fonction de la longueur du mot reçu : si le mot M a la longueur prédéfinie, le serveur 14 commande 25 l'activation de la configuration d'authentification classique, c'est-à- dire sans synchronisation, si le mot M a une longueur égale à la longueur de synchronisation, le serveur 14 commande l'activation de la configuration de synchronisation des compteurs 22 et 48. 30 Dans le cas où la longueur est distincte de la longueur de synchronisation, aucune configuration n'est activée et le serveur 14 renvoie un message au cours d'une étape 107.
Eventuellement, en variante, la configuration de synchronisation peut être activée dès lors que la longueur du mot reçu est supérieure à la longueur prédéfinie. Fonctionnement du serveur en configuration de synchronisation : L'utilisateur demande à son terminal 30 de générer deux mots de passe consécutifs M1 000001 et M2 000002 . Pour lancer la configuration de synchronisation, l'utilisateur saisit le résultat de la concaténation de deux mots de passe M1 et M2 générés consécutivement par le terminal 30 dans le champ de saisie 70 et en valide la saisie. Le serveur d'authentification 14 reçoit au sein d'une même requête de synchronisation le résultat de la concaténation et détermine que la longueur du mot résultant M1-2 reçu est supérieure à la longueur prédéfinie et est égale à la longueur de synchronisation. Eventuellement, au sein de cette même requête, des mots de passe fixes, par exemple associés spécifiquement à la configuration de synchronisation, sont saisis par l'utilisateur pour assurer encore plus de sécurité. Ainsi, comme la longueur du mot reçu est égale à la longueur de synchronisation, le serveur d'authentification 14 commande l'activation de la configuration de synchronisation au cours d'une étape 110. Puis, le serveur 14 vérifie si le critère prédéterminé est vérifié par le mot reçu M1-2. Dans cet exemple, le serveur 14 reçoit le mot M1-2 suivant : 000001000002 émis à partir du terminal 30. Ce mot M1-2 correspond au résultat de la concaténation du premier mot M1 et du deuxième mot M2.
Le serveur 14 vérifie alors le respect du critère prédéfini par le mot reçu. A cet effet, les moyens 75 recherchent, au cours d'une étape 112, parmi des versions d'une suite générée sur la base de valeurs consécutives du premier compteur 22 et comprises dans une fenêtre de recherche prédéterminée, deux versions de mots de passe consécutives correspondant au mot M1-2. Dans cet exemple décrit, le critère est respecté en cas de correspondance du mot de synchronisation M1-2 avec une partie (de longueur de synchronisation) du résultat de la concaténation de deux versions consécutives de la suite. De préférence, le critère est vérifié en cas de correspondance du mot de longueur de synchronisation avec au moins deux versions mots de passe consécutives générées par les moyens 24 au cours d'une étape 114 sur la base de première et deuxième valeurs du premier compteur 22. Par exemple, la suite de versions de mots de passe générée par le serveur 14 est la suivante : Valeur du compteur 22 Version de mot générée sur la base de cette valeur 0+0 000000 C+1 000001 C+2 000002 C+3 000003 C+4 000004 0+99 999999 Le serveur 14 détermine alors dans la suite de versions de mots de passe, que, pour les valeurs C+1 et C+2 du compteur 22, le résultat de la concaténation des versions générées par les moyens 24 sur la base de ces deux valeurs correspond au mot M1-2. Le critère est donc vérifié. Comme le critère est vérifié, le serveur 14 commande, au cours d'une étape 116, l'incrémentation du premier compteur 22 d'une unité de comptage à partir de la valeur de comptage associée au deuxième mot de passe qui est supérieure à celle du premier mot. Le serveur d'authentification 14 envoie à l'ordinateur personnel 60, au cours d'une étape 117, un acquittement pour autoriser l'utilisateur à accéder au service souhaité. Dans ce cas, les moyens de synchronisation 74 commandent l'incrémentation du premier compteur 22 d'une unité de comptage à partir de la deuxième valeur C+2. La valeur actuelle du compteur 22 propre au serveur 14 devient alors 0+3.
Dans le cas contraire, c'est-à-dire dans le cas où le serveur 14 ne trouve pas dans sa liste le mot de synchronisation, le compteur 22 propre au serveur 14 se met en configuration bloquée après un certain nombre A de tentatives infructueuses, par exemple A est égal à trois, et passe à une étape de blocage 118. L'utilisateur ne peut alors plus accéder au service. Fonctionnement du serveur en confiquration normale : Pour accéder à cette configuration, l'utilisateur a saisi un unique mot de passe ayant une longueur égale à la longueur prédéfinie. Le procédé comprend alors une étape 120 de génération d'une version d'un mot de passe par le serveur d'authentification sur la base d'une valeur du premier compteur. Au cours d'une étape 122 de vérification, les moyens 28 vérifient l'identité de la version générée par le serveur et du mot de passe généré par le terminal externe.
Dans le cas où l'identité est avérée, le serveur d'authentification 14 envoie, au cours d'une étape 124, un acquittement pour autoriser l'utilisateur à accéder au service souhaité. Dans le cas contraire, le serveur d'authentification 14, au cours d'une étape 126 envoie un message d'échec qui est affiché sur l'interface homme- machine 68 de l'ordinateur personnel 60. L'utilisateur peut alors effectuer par exemple deux nouvelles tentatives de saisie de mots de passe tant que le nombre de tentatives N est inférieur ou égale à trois. Dans ce cas, l'utilisateur exécute l'étape 104. Dans le cas où l'identité n'est toujours pas vérifiée et que le nombre de tentatives est égale à trois, le procédé comprend une étape de blocage 128. L'utilisateur peut, tant que le nombre de tentatives N est inférieur à trois, également choisir d'activer la configuration de synchronisation. Dans ce cas, l'utilisateur demande à son terminal 30 de délivrer des premier et deuxième mots de passe générés à partir respectivement de première et deuxième valeurs successives, de préférence consécutives, du deuxième compteur 48 et exécute les étapes du procédé à partir de l'étape 104.
Grâce au serveur selon l'invention, la synchronisation des compteurs est effectuée de manière fiable et simple tout en assurant un niveau de sécurité équivalent voire supérieur au niveau de sécurité procuré par des méthodes de synchronisation proposées dans l'état de la technique.
Ainsi, en autorisant une recherche de correspondance entre un mot de longueur de synchronisation et des versions de mots de passe générées sur la base de valeurs du compteur du serveur sur mille valeurs consécutives, le niveau de sécurité associé à la configuration de synchronisation est de 109. Les modes de réalisation qui précèdent ne sont que des exemples possibles de mise en oeuvre de l'invention qui ne s'y limite pas. En particulier, le mot de synchronisation peut correspondre au résultat de la concaténation de deux mots de passe successifs, par exemple générés sur la base de valeurs de compteurs paires ou impaires.

Claims (17)

  1. REVENDICATIONS1. Serveur (14) d'authentification à partir de mots de passe dynamiques de longueur prédéfinie, comprenant des moyens (24) de génération d'une version (V) d'un mot de passe dynamique sur la base d'au moins une valeur d'un premier compteur (22) propre au serveur (14), pour la vérification de la correspondance de cette version (V) avec un mot (M) susceptible d'être généré sur la base d'au moins une valeur d'un deuxième compteur (48) externe au serveur (14), caractérisé en ce que le serveur (14) comprend des moyens (76) de synchronisation du premier compteur (22) par rapport au deuxième compteur (48), configurés pour être commandés : - en fonction de la réception, par le serveur (14), d'un mot ayant une longueur, dite longueur de synchronisation, supérieure à la longueur prédéfinie, et - en fonction de la vérification du respect d'un critère prédéfini lié au mot de longueur de synchronisation.
  2. 2. Serveur (14) selon la revendication 1, dans lequel la longueur de synchronisation est supérieure ou égale au double de la longueur prédéfinie.
  3. 3. Serveur (14) selon la revendication 1 ou 2, dans lequel le critère est respecté en cas de correspondance du mot de longueur de synchronisation avec au moins une partie, de longueur de synchronisation, du résultat de la concaténation d'au moins deux versions (V) de mots de passe dynamiques générées successivement par le serveur (14).
  4. 4. Serveur (14) selon la revendication 1 ou 2, dans lequel le critère est respecté en cas de correspondance du mot de longueur de synchronisation avec la partie de longueur de synchronisation du résultat de la concaténation d'au moins de première et deuxième versions (V) générées sur la base respectivement de première et deuxième valeurs consécutives du premier compteur (22).
  5. 5. Serveur (14) selon la revendication précédente, comprenant des moyens (75) de recherche de la partie de longueur de synchronisation des versions de mot de passe (V) d'une suite générée sur la base d'une fenêtre de recherche prédéterminée de valeurs consécutives du premier compteur (22).
  6. 6. Serveur (14) selon la revendication 4 ou 5, dans lequel les première et deuxième valeurs sont supérieures à une valeur initiale du premier compteur (22), avant synchronisation.
  7. 7. Serveur (14) selon la revendication précédente, dans lequel les moyens de synchronisation (76) sont aptes à commander l'incrémentation du premier compteur (22) d'une unité de comptage à partir de la deuxième valeur, lorsque la deuxième valeur est supérieure à la première valeur, en cas de vérification du critère.
  8. 8. Serveur (14) selon l'une quelconque des revendications précédentes, dans lequel les premier (22) et deuxième (48) compteurs ont des valeurs à croissance monotone avec le nombre de mots de passe ou versions de mots générés.
  9. 9. Serveur (14) selon l'une quelconque des revendications précédentes, comprenant des moyens de mémorisation d'une clé secrète partagée entre le serveur (14) et un terminal externe (30) comprenant le deuxième compteur (48) et dans lequel les moyens (24) sont aptes à générer la version du mot sur la base de la clé secrète via un algorithme cryptographique.
  10. 10. Serveur (14) selon l'une quelconque des revendications précédentes, comprenant des moyens de couplage d'un processeur du serveur (14) à une interface homme-machine (68) comprenant un champ (70) de saisie d'un mot commun aux mots de longueur de synchronisation et de longueur prédéfinie.
  11. 11. Système (12) d'authentification à partir de mots de passe dynamiques, comprenant un terminal (30) et un serveur d'authentification (14), dans lequel le terminal (30) comprend des moyens (24) de génération de mots de passe dynamiques sur la base d'au moins une valeur d'un premier compteur (22) propre au serveur (14), caractérisé en ce que le serveur (14) est selon l'une quelconque des revendications précédentes et le compteur du terminal (30) est le deuxième compteur (48).
  12. 12. Procédé d'authentification à partir de mots de passe dynamiques de longueur prédéfinie, comprenant une étape de génération par un serveur d'authentification (14) d'une version d'un mot de passe dynamique sur la base d'une valeur d'un premier compteur (22) propre au serveur (14) pour la vérification de la correspondance de cette version avec un autre mot susceptible d'être généré à partir d'un deuxième compteur (48) externe au serveur (14), caractérisé en ce que le procédé comprend en outre une étape de commande de la synchronisation du premier compteur (22) par rapport au deuxième compteur (48) : - en fonction de la réception par le serveur (14) d'un mot ayant une longueur, dite longueur de synchronisation, supérieure à la longueur prédéfinie, et en fonction de la vérification d'un critère prédéfini lié au mot de longueur de synchronisation.
  13. 13. Procédé selon la revendication précédente, dans lequel le critère est respecté en cas de correspondance du mot de longueur de synchronisation avec au moins une partie, de longueur de synchronisation, du résultat de la concaténation d'au moins deux versions de mots de passe dynamiques (V) générées successivement par le serveur (14).
  14. 14. Procédé selon l'une quelconque des revendications précédentes, comprenant une étape de recherche de la partie de longueur de synchronisation parmi une suite de versions de mot de passe (V) générée sur la base d'une fenêtre de recherche prédéterminée de valeurs consécutives du premier compteur (22).
  15. 15. Procédé selon la revendication précédente, dans lequel le critère étant respecté en cas de correspondance du mot de longueur de synchronisation avec la partie de longueur de synchronisation du résultat de la concaténation d'au moins des première et deuxième versions (V) générées sur la base respectivement de première et deuxième valeurs consécutives du premier compteur (22), l'étape de synchronisation comprend une étape d'incrémentation du premier compteur (22) d'une unité de comptage à partir dela deuxième valeur, lorsque la deuxième valeur est supérieure à la première valeur, en cas de vérification du critère.
  16. 16. Procédé selon l'une quelconque des revendications précédentes, dans lequel la longueur de synchronisation est supérieure ou égale ou double 5 de la longueur prédéfinie.
  17. 17. Procédé selon l'une quelconque des revendications précédentes, dans lequel le deuxième compteur (48) est propre à un terminal externe (30) au serveur (14) et apte à générer au moins un mot de passe dynamique sur la base d'une valeur de ce deuxième compteur (48). 10
FR0950670A 2009-02-03 2009-02-03 Serveur, systeme et procede d'authentification a partir de mots de passe dynamiques. Active FR2941833B1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR0950670A FR2941833B1 (fr) 2009-02-03 2009-02-03 Serveur, systeme et procede d'authentification a partir de mots de passe dynamiques.

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0950670A FR2941833B1 (fr) 2009-02-03 2009-02-03 Serveur, systeme et procede d'authentification a partir de mots de passe dynamiques.

Publications (2)

Publication Number Publication Date
FR2941833A1 true FR2941833A1 (fr) 2010-08-06
FR2941833B1 FR2941833B1 (fr) 2011-04-01

Family

ID=41396410

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0950670A Active FR2941833B1 (fr) 2009-02-03 2009-02-03 Serveur, systeme et procede d'authentification a partir de mots de passe dynamiques.

Country Status (1)

Country Link
FR (1) FR2941833B1 (fr)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006044717A2 (fr) * 2004-10-15 2006-04-27 Verisign, Inc. Mot de passe a usage unique
EP1729480A1 (fr) * 2005-06-01 2006-12-06 AT&T Corp. Gestion de système d'authentification pour des fournisseurs de services
US20070250923A1 (en) * 2006-04-21 2007-10-25 M Raihi David Time and event based one time password

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006044717A2 (fr) * 2004-10-15 2006-04-27 Verisign, Inc. Mot de passe a usage unique
EP1729480A1 (fr) * 2005-06-01 2006-12-06 AT&T Corp. Gestion de système d'authentification pour des fournisseurs de services
US20070250923A1 (en) * 2006-04-21 2007-10-25 M Raihi David Time and event based one time password

Also Published As

Publication number Publication date
FR2941833B1 (fr) 2011-04-01

Similar Documents

Publication Publication Date Title
US20150312248A1 (en) Identity authentication
CA2969495C (fr) Procede mis en oeuvre dans un document d'identite et document d'identite associe
WO2013021107A9 (fr) Procede, serveur et systeme d'authentification d'une personne
EP3991381A1 (fr) Procédé et système de génération de clés de chiffrement pour données de transaction ou de connexion
WO2019145620A1 (fr) Système sécurisé de transactions entre terminaux
EP1726121A1 (fr) Procede d'authentification anonyme
WO2016102834A1 (fr) Procédé d'authentification d'un utilisateur et d'un module sécurisé, appareil électronique et système associes
EP3729307B1 (fr) Procédés et dispositifs pour l'enrôlement et l'authentification d'un utilisateur auprès d'un service
EP2710779A1 (fr) Procede de securisation d'une platforme d'authentification, dispositifs materiels et logiciels correspondants
EP2492834A1 (fr) Procédé d'authentification d'un utilisateur
EP4387167A1 (fr) Procédé et système d'authentification d'un utilisateur auprès d'un serveur d'authentification
FR2941833A1 (fr) Serveur, systeme et procede d'authentification a partir de mots de passe dynamiques.
EP4260210A1 (fr) Procédé de gestion de l'authentification d'un utilisateur d'un dispositif sur un équipement par mot de passe
EP2529330B1 (fr) Procédé de fourniture d'un code dynamique par l'intermédiaire d'un téléphone
EP3395042B1 (fr) Serveur d'authentification pour le contrôle d'accès a un service
EP3899765B1 (fr) Réinitialisation d'un secret applicatif au moyen du terminal
WO2026021850A1 (fr) Authentification automatique par une passerelle pour l'accès à une ressource par un équipement
WO2026047160A1 (fr) Procede et dispositif de generation d'une information d'authentification
WO2025125562A1 (fr) Procédé d'authentification d'un individu pour la mise en œuvre d'une transaction sur un terminal marchand
EP4105798A1 (fr) Procédé d authentification, dispositif et programme correspondant
WO2022184726A1 (fr) Procédé pour permettre à des utilisateurs de déployer des contrats intelligents dans une chaîne de blocs au moyen d'une plateforme de déploiement
EP3979109A1 (fr) Procédé et système d'authentification d'un utilisateur sur un appareil utilisateur
WO2021099199A1 (fr) Procede et systeme pour le provisionnement ou remplacement securise d'un secret dans au moins un dispositif de communication portable.
FR3042362A1 (fr) Moyens de gestion d'acces a des donnees
FR2963526A1 (fr) Telephone mobile muni d'un systeme securise d'identification

Legal Events

Date Code Title Description
GC Lien (pledge) constituted

Effective date: 20140115

PLFP Fee payment

Year of fee payment: 8

PLFP Fee payment

Year of fee payment: 9

PLFP Fee payment

Year of fee payment: 10

PLFP Fee payment

Year of fee payment: 12

PLFP Fee payment

Year of fee payment: 13

PLFP Fee payment

Year of fee payment: 14

PLFP Fee payment

Year of fee payment: 15

CA Change of address

Effective date: 20230206

CD Change of name or company name

Owner name: IDEMIA FRANCE, FR

Effective date: 20230206

PLFP Fee payment

Year of fee payment: 16

PLFP Fee payment

Year of fee payment: 17

PLFP Fee payment

Year of fee payment: 18