A Robust Multimodal User Authentication System for Mobile Environments

Mobile payment systems see a promising future considering that they enable ubiquitous and contactless payment. However, they currently face some adoption challenges related to perceived security vulnerabilities including weak authentication. Mobile authentication systems presented in the literature to secure mobile payment systems are mostly based on one-shot and static something-you-know-based authentication which leads to security concerns related to 1) the lack of reauthentication throughout the use of an open device or application, and 2) the predictability of the authentication modality used to authenticate the user. These concerns lead to important security vulnerabilities such as vulnerability to 1) session hijacking, 2) physical control of an unattended device, 3) attacks on a lost/stolen device, or 4) presentation attacks such as smudge and shoulder surfing attacks. Therefore, developing stronger authentication is an important step to ensure a better adoption of mobile payment systems. Biometric authentication can mitigate some security problems related to conventional authentication in mobile environments. Indeed, biometric authentication is a promising technology to authenticate users in the context of security-sensitive mobile applications. However, biometric authentication systems currently proposed to secure mobile environments still face some important security and usability problems, such as 1) vulnerabilities to presentation attacks, 2) poor user convenience, 3) poor universality, and 4) high model complexity. Balancing security and usability is challenging since they are intimately related to one another and improving one necessarily negatively impacts the other. Therefore, it is important to develop a biometric authentication system that successfully balances security and usability to safely secure security-sensitive mobile environments.

Résumé

Les systèmes de paiement mobile ont un avenir prometteur car ils permettent des paiements omniprésents et sans contact. Toutefois, ils sont actuellement confrontés à certains problèmes d'adoption liés aux faiblesses perçues en matière de sécurité, notamment liés à la faiblesse de l'authentification. Les systèmes d'authentification mobile présentés dans la littérature pour sécuriser les systèmes de paiement mobile sont principalement basés sur une authentification unique, statique et basée sur ce que l’utilisateur connaît, ce qui pose des problèmes de sécurité liés à 1) l'absence de réauthentification tout au long de l'utilisation d'un appareil ou d'une application ouverte, et 2) la prévisibilité de la modalité d'authentification utilisée pour authentifier l'utilisateur. Ces problèmes entraînent d'importantes failles de sécurité telles que la vulnérabilité 1) au détournement de session, 2) au contrôle physique d'un appareil sans surveillance, 3) aux attaques sur un appareil perdu ou volé, ou 4) aux attaques de présentation telles que les attaques de type smudge et shoulder surfing. Par conséquent, la conception d’une authentification plus robuste est une étape importante pour garantir une meilleure adoption des systèmes de paiement mobile. L'authentification biométrique peut atténuer certains problèmes de sécurité liés à l'authentification conventionnelle dans les environnements mobiles. En effet, l'authentification biométrique est une technologie prometteuse pour authentifier les utilisateurs dans le contexte d'applications mobiles sensibles sur le plan de la sécurité. Toutefois, les systèmes d'authentification biométrique actuellement proposés pour sécuriser les environnements mobiles sont toujours confrontés à d'importants problèmes de sécurité et d’utilisabilité, tels que : 1) les vulnérabilités aux attaques de présentation, 2) le manque de confort pour l'utilisateur, 3) le manque d'universalité et 4) la grande complexité des modèles. Il est difficile de trouver un équilibre entre la sécurité et l’utilisabilité, car elles sont intimement liées l'une à l'autre et l'amélioration de l'une a nécessairement un impact négatif sur l'autre. Il est donc important de développer un système d'authentification biométrique qui réussisse à équilibrer la sécurité et la convivialité afin de sécuriser les environnements mobiles sensibles à la sécurité.