Accesso fornitore GridSure utilizza schemi per ricordare i PIN

Una startup britannica ha sviluppato un sistema di autenticazione che richiede agli utenti di ricordare un modello su una griglia di numeri piuttosto che un PIN (numero di identificazione personale).

Il sistema di GrIDsure è destinato a essere più resistente ai cosiddetti " spalla ", o essere visto digitando un login o una password, e per sconfiggere i keylogger, che sono programmi clandestini che registrano le battute.

GrIDsure è una piccola azienda in un mercato molto competitivo di fornitori di software e hardware di autenticazione che cercano di aumentare il sicurezza di e-commerce, online banking e trasferimenti di denaro.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Due dei prodotti GrIDsure riguardano l'accesso a un PC con Windows di Microsoft. Una volta installato il software Gridsure, un utente sceglie un modello da una griglia di cinque quadrati per cinque quadrati. La società lo chiama "modello di identificazione personale" dell'utente (PIP). Il modello è associato alla password reale della persona.

Ogni volta che l'utente accede al PC, nella griglia vengono visualizzati numeri diversi. L'utente inserisce i numeri che corrispondono al loro modello. I numeri sono irrilevanti; solo il modello conta. Se è presente un registratore di tasti, potrebbe raccogliere i numeri corrispondenti a quel modello, ma quella sequenza non verrà più utilizzata.

Le banche inviano sempre più generatori di password monouso ai loro clienti. I dispositivi sono token hardware che visualizzano un numero che consente a una persona di accedere a un sito Web per un periodo di tempo limitato come misura di sicurezza avanzata.

Il Presidente di Gridsure Jonathan Craymer, un ex giornalista che ha inventato la griglia concetto, dal momento che il sistema è solo basato su software, è più economico rispetto all'acquisto di token hardware. È anche più facile per le persone ricordare un modello piuttosto che una moltitudine di PIN.

GrIDsure è stato lento a decollare a causa dell'ampia procedura di verifica che le nuove tecnologie di autenticazione devono garantire per garantire la sicurezza. Ma Craymer ha detto che Microsoft, Novell e altre società hanno espresso interesse per questo. Gridsure ha anche presentato il sistema a uno schema di test governativo britannico, ha detto Craymer.

La semplicità del sistema è la sua forza, così come la sua sicurezza, ha scritto Graham Titterington, principale analista di Ovum, in una nota di ricerca. Ha anche un'ampia applicabilità e potrebbe essere incorporato nei siti Web e in altri scenari, ha scritto.

"Lo schema può essere implementato su computer, telefoni cellulari, bancomat e dispositivi specializzati di smart card", ha scritto Titterington.

Tuttavia, almeno un ricercatore di sicurezza dell'Università di Cambridge ha contestato quanto la Gridsure sia resistente alla spalla.

"I surfisti di spalla potrebbero imparare a determinare in modo migliore i modelli, probabilmente in riferimento a schemi comuni", ha scritto Mike Bond in un commento del marzo 2008.

GrIDsure potrebbe anche non essere resistente nei dispositivi di punto vendita che sono stati manomessi, ha scritto. I rapporti di notizie hanno recentemente descritto uno schema in cui i dispositivi del punto vendita di diversi rivenditori britannici erano stati attrezzati per registrare i PIN e i dati sulle strisce magnetiche delle carte di credito. In tutta Europa, i consumatori devono inserire un PIN prima di completare un acquisto, un sistema noto come "chip-e-PIN".

"Il terminale sabotato può registrare un'intera sfida e una risposta", ha scritto Bond.

Craymer ha detto di essere a conoscenza del rapporto di Bond e "non è proprio per me commentare la sua opinione".

Tuttavia, un altro professore dell'Università di Cambridge ha scritto in una valutazione del giugno 2006 che GrIDsure è ancora più sicuro del chip-e-PIN.

Una griglia di cinque quadrati per cinque quadrati offre 390.625 possibili modelli di identificazione personale composti da quattro numeri, ha scritto Richard Weber, professore nel laboratorio statistico del Dipartimento di Matematica pura e Statistica matematica dell'Università di Cambridge.

"Al contrario, nel tradizionale chip-e-PIN ci sono solo 10.000 pin a quattro cifre", ha scritto Weber. "Quindi ci sono molti più PIP rispetto ai PIN, ed è molto più difficile per un ladro intuire un PIP a quattro celle piuttosto che indovinare un PIN di quattro cifre."