Adgangstjenesteyder GridSure bruger mønstre til husk PIN-kode

En britisk opstart har udviklet et autentificeringssystem, der kræver, at brugerne husker et mønster på et nummer af tal frem for en PIN-kode (personligt identifikationsnummer).

GrIDsures system er beregnet til at være mere modstandsdygtigt mod såkaldt " skulder surfing "eller at blive set ved at skrive i et login eller en adgangskode, og at besejre keyloggers, hvilket er uklanderlige programmer, der registrerer tastetryk.

GrIDsure er et lille firma på et meget konkurrencedygtigt marked med godkendelsessoftware og hardwareleverandører, der stræber efter at øge sikkerhed for e-handel, online banking og pengeoverførsler.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

To af GrIDsures produkter vedrører logning på en pc, der kører Microsofts Windows. Når GrIDsures software er installeret, vælger en bruger et mønster fra en fem-kvadrat med et femkantigt net. Virksomheden kalder det brugerens "personlige identifikationsmønster" (PIP). Mønsteret er forbundet med personens rigtige adgangskode.

Hver gang brugeren logger på pc'en, vises forskellige tal i netværket. Brugeren indtaster tallene, der svarer til deres mønster. Tallene er ubetydelige; kun mønsteret betyder noget. Hvis en tastetryk logger er til stede, kan den afhente numrene svarende til det pågældende mønster, men den sekvens vil ikke blive brugt igen.

Banker sender i stigende grad engangsordrevne generatorer til deres kunder. Enhederne er hardware-tokens, der viser et nummer, der gør det muligt for en person at logge ind på et websted i meget begrænset tid som en forbedret sikkerhedsforanstaltning.

GrIDsure Formand Jonathan Craymer, en tidligere journalist, der kom op med nettet koncept, da systemet kun er softwarebaseret, er det billigere end at købe hardware tokens. Det er også lettere for folk at huske et mønster snarere end et stort antal PIN-kodeer.

GrIDsure har været langsom at tage ud på grund af den brede vetting-proces, som nye autentificeringsteknologier skal gennemgå for at sikre, at de er sikre. Men Craymer sagde Microsoft, Novell og andre virksomheder har udtrykt interesse for det. GrIDsure har også indsendt systemet til en regeringsprøveordning fra USA, siger Craymer.

Systemets enkelhed er dens styrke, såvel som dets sikkerhed, skrev Graham Titterington, hovedanalytiker ved Ovum, i en forskningsnota. Det har også stor anvendelighed og kan indarbejdes i hjemmesider såvel som andre scenarier, skrev han.

"Ordningen kan implementeres på computere, mobiltelefoner, pengeautomater og specielle smartcard-enheder", skriver Titterington. > Mindst en sikkerhedsforsker ved University of Cambridge har imidlertid bestridt, hvor modstandsdygtigt GrIDsure skal skulder surfing.

"Skulder surfere kunne specifikt lære at bestemme mønstre på en bedre måde, sandsynligvis i forhold til fælles mønstre", skrev Mike Bond i en kommentar fra marts 2008.

GrIDsure kan heller ikke være modstandsdygtig i salgs-enheder, der er blevet manipuleret, skrev han. Nyhedsrapporterne har for nylig beskrevet en ordning, hvor salgssteder til flere amerikanske forhandlere var blevet rettet til registrering af PIN-kode og magnetisk stribe data for kreditkort. I hele det meste af Europa skal forbrugerne indtaste en PIN-kode, inden de gennemfører et køb, et system kaldet "chip-and-pin".

"Den saboterede terminal kan registrere en hel udfordring og svar", skrev Bond.

Craymer sagde, at han er opmærksom på Obligationsrapporten og "det er ikke rigtig for mig at kommentere hans synspunkt."

En anden University of Cambridge professor skrev i en juni 2006-evaluering, at GrIDsure stadig er sikrere end chip-and-PIN.

En fem-kvadratisk med fem-kvadratisk net giver 390.625 mulige personlige identifikationsmønstre bestående af fire tal, skrev Richard Weber, professor i det statistiske laboratorium ved Institut for Ren Matematik og Matematisk Statistik ved University of Cambridge. >"Derimod er der i traditionel chip-og-PIN-kode kun 10.000 firecifrede stifter," skrev Weber. "Så der er mange flere PIP'er end PIN-koder, og det er meget sværere for en tyv at gætte en firecelle PIP end at gætte en firecifret PIN-kode."