Leveraging browser fingerprinting to strengthen web authentication - TEL - Thèses en ligne Accéder directement au contenu
Thèse Année : 2022

Leveraging browser fingerprinting to strengthen web authentication

Utiliser les empreintes de navigateur pour renforcer l'authentification sur Internet

Antonin Durey
  • Fonction : Auteur
  • PersonId : 1097294
Université de Lille
Self-adaptation for distributed services and large software systems

Résumé

Security on the Web is a major concern for any user, and authentication solutions, such as multi-factor authentication, negatively impact the user experience and add cost and complexity that may prevent them from being more accepted by users and more largely deployed. Browser fingerprinting is a stateless and permission-less technique that collects information about the user’s device, OS, browser and configuration to form an identifier. While it has mainly been studied from a tracking perspective, its properties make it interesting for security, and more specifically, for Web authentication. In this thesis, I provide 3 main contributions: • I manually browse 1, 485 pages on 446 websites and measure fingerprint collection on sensitive pages of websites, such as sign-up and sign-in pages. I evaluate the resilience of these websites against 2 types of attack, stolen credentials and cookie hijacking, and show that fingerprinting, despite its potential, is barely used to protect against these attacks. • I collect fingerprints in a controlled environment to precisely measure the attributes that offer interesting uniqueness and stability properties. I use this knowledge to design and implement a fingerprints linking algorithm for Web authentication and evaluate it on a dataset of 952, 828 fingerprints collected from 64, 235 browser instances, and show the algorithm is reliable and relevant to link fingerprints. • I design and implement an authentication scheme that strengthens web authentication by using browser fingerprinting. I evaluate the scheme on a centralized authentication server with 82 users. I demonstrate that browser fingerprinting strengthens Web authentication while having a minimal impact on the user experience. With these contributions, I argue that browser fingerprinting improves web authentication and conclude this manuscript by providing short-term and long-term perspectives to improve this work.
La sécurité d’un système d’authentification est un élément dont l’importance continue de croître depuis la naissance du Web. De nos jours, c’est un point d’intérêt majeur et des solutions comme l’authentification multi-facteur ont un impact fort sur l’expérience utilisateur qui empêchent ces techniques d’être acceptées par la majorité des utilisateurs et d’être déployées à grande échelle sur Internet. Une empreinte de navigateur est une technique d’identification sans état et qui ne requiert pas de permission. Elle collecte des informations sur l’appareil, l’OS, le navigateur et la configuration de l’utilisateur. Alors que cette technique a majoritairement été étudiée à des fins de suivi en ligne, ses propriétés en font un élément intéressant pour renforcer la sécurité sur Internet, et notamment l’authentification. Dans cette thèse, je propose 3 contributions relative à l’usage des empreintes de navigateur pour améliorer l’authentification sur Internet: • Je visite manuellement 1, 485 pages Internet appartenant à 446 sites et je mesure que les empreintes de navigateur sont collectées sur des pages sensibles, tel que des pages d’authentification. J’évalue la résistance de ces sites contre 2 attaques, le vol de mot de passe et le vol de cookies, et montre que les empreintes de navigateur sont peu utilisées pour se protéger contre ces menaces. • Je collecte des empreintes de navigateur dans un environnement contrôlé pour mesurer précisément les attributs qui offrent des propriétés intéressantes en terme d’unicité et de stabilité. J’utilise cette connaissance pour concevoir et implémenter un algorithme pouvant lier des empreintes de navigateur. J’évalue cet algorithme sur un ensemble de données formé de 952, 828 empreintes provenant de 64, 235 instances de navigateur, et montre que l’algorithme est fiable et pertinent. • Je conçois et implémente un schéma d’authentification qui renforce l’authentification en utilisant la technique des empreintes de navigateur. J’intègre ce schéma dans un système centralisé d’authentification comportant 82 utilisateurs. Je démontre que la technique des empreintes de navigateur améliore la sécurité tout en ayant un impact minime sur l’expérience utilisateur. Avec ces contributions, je démontre que les empreintes de navigateur sont légitimes pour renforcer l’authentification sur Internet. Alors que le Web est en constante évolution, je conclus en proposant des perspectives à court et long terme pour améliorer ces travaux et suivre l’évolution de la technique des empreintes de navigateur.

Domaines

Informatique [cs] Cryptographie et sécurité [cs.CR]
Fichier principal
Vignette du fichier
manuscript.pdf (3.3 Mo) Télécharger le fichier
Origine : Fichiers produits par l'(les) auteur(s)

Antonin Durey  : Connectez-vous pour contacter le contributeur

https://theses.hal.science/tel-03544475

Soumis le : mercredi 26 janvier 2022-16:40:59

Dernière modification le : mercredi 24 janvier 2024-09:54:22

Archivage à long terme le : mercredi 27 avril 2022-19:24:12

Télécharger pour visualiser

Dates et versions

tel-03544475 , version 1 (26-01-2022)
tel-03544475 , version 2 (08-12-2022)

Identifiants

  • HAL Id : tel-03544475 , version 1

Citer

Antonin Durey. Leveraging browser fingerprinting to strengthen web authentication. Computer Science [cs]. Université de Lille, 2022. English. ⟨NNT : ⟩. ⟨tel-03544475v1⟩

Exporter

BibTeX XML-TEI Dublin Core DC Terms EndNote DataCite
444 Consultations
2172 Téléchargements

Partager

Gmail Facebook X LinkedIn More