Access Vendor GridSure bruker mønstre for å huske PIN-kode

En britisk oppstart har utviklet et autentiseringssystem som krever at brukere husker et mønster på et rutenett av tall i stedet for en PIN-kode (personnummer).

GrIDsures system er ment å være mer motstandsdyktig overfor såkalte " skulder surfing "eller blir sett på å skrive inn et brukernavn eller passord, og for å beseire keyloggers, som er hemmelige programmer som registrerer tastetrykk.

GrIDsure er et lite selskap i et meget konkurransedyktig marked for godkjenningssoftware og maskinvareleverandører som strever for å øke Sikkerhet for e-handel, nettbank og pengeoverføringer.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

To av GrIDsures produkter gjelder å logge på en PC som kjører Microsofts Windows. Når GrIDsures programvare er installert, velger en bruker et mønster fra en femkantig femkantig rutenett. Selskapet kaller det brukerens "personlige identifikasjonsmønster" (PIP). Mønsteret er knyttet til personens ekte passord.

Hver gang brukeren logger på PCen, vises forskjellige tall i rutenettet. Brukeren skriver inn tallene som samsvarer med mønsteret. Tallene er ubetydelige; bare mønsteret betyr noe. Hvis en tastetrykklogger er tilstede, kan den hente tallene som svarer til dette mønsteret, men den sekvensen vil ikke bli brukt igjen.

Bankene sender i økende grad engangspassordgeneratorer til sine kunder. Enhetene er maskinvare tokens som viser et nummer som tillater at en person logger på et nettsted i svært begrenset tid som et forbedret sikkerhetsmåte.

GrIDsure-styreleder Jonathan Craymer, en tidligere journalist som kom opp med rutenettet konsept, sa siden systemet bare er programvarebasert, er det billigere enn å kjøpe maskinvare tokens. Det er også lettere for folk å huske et mønster i stedet for en rekke PIN-koder.

GrIDsure har vært sakte å ta av på grunn av den omfattende vettingprosessen som nye godkjenningsteknologier må gå gjennom for å sikre at de er sikre. Men Craymer sa Microsoft, Novell og andre selskaper har uttrykt interesse for det. GrIDsure har også sendt systemet til en regjeringsprøveordning, sier Craymer.

Systemets enkelhet er dens styrke, samt sikkerheten, skrev Graham Titterington, hovedanalytiker ved Ovum, i en forskningsnotat. Den har også stor anvendelighet og kan bli innarbeidet i nettsteder, så vel som andre scenarier, skrev han.

"Ordningen kan implementeres på datamaskiner, mobiltelefoner, minibanker og spesialiserte smartkort-enheter," skrev Titterington. > Men minst en sikkerhetsforsker ved Universitetet i Cambridge har bestridt hvor motstandsdyktig GrIDsure er å skulder surfing.

"Skulder surfere kan spesielt lære å bestemme mønstre på en bedre måte, sannsynligvis i forhold til vanlige mønstre," skrev Mike Bond i en kommentar fra mars 2008.

GrIDsure kan heller ikke være motstandsdyktig i salgssteder som har blitt manipulert, skrev han. Nyhetsrapporter har nylig beskrevet et system hvor salgsinnretningsenheter hos flere amerikanske forhandlere hadde blitt rigget til registrering av PIN-koder og magnetisk stripedata for kredittkort. I det meste av Europa må forbrukerne skrive inn en PIN-kode før du fullfører et kjøp, et system som kalles "chip-and-pin".

"Den saboterte terminalen kan registrere en hel utfordring og respons," skrev Bond.

Craymer sa at han er klar over Bond-rapporten, og "det er egentlig ikke for meg å kommentere hans syn."

En annen University of Cambridge professor skrev i en juni 2006-evaluering at GrIDsure fortsatt er tryggere enn chip-and-PIN.

En fem-kvadrat med femkantet rutenett tilbyr 390.625 mulige personlige identifikasjonsmønstre bestående av fire tall, skrev Richard Weber, professor i det statistiske laboratoriet ved Institutt for ren matematikk og matematisk statistikk ved University of Cambridge.

"Derimot er det i tradisjonell chip-og-PIN-kode bare 10.000 firesifrede pinner," skrev Weber. "Så det er mange flere PIP'er enn PIN-koder, og det er mye vanskeligere for en tyv å gjette en fire-cellers PIP enn å gjette en firesifret PIN-kode."