GridSure поставщика доступа использует шаблоны для запоминания PIN-кода

Британский стартап разработал систему аутентификации, которая требует, чтобы пользователи запоминали шаблон по сетке чисел, а не ПИН (персональный идентификационный номер).

Система GrIDsure должна быть более устойчивой к так называемым " плеча серфинга ", или если вы видите ввод в логин или пароль, и чтобы победить кейлоггеров, которые являются подпольными программами, которые записывают нажатия клавиш.

GrIDsure - небольшая компания на очень конкурентном рынке поставщиков программного обеспечения для проверки подлинности и аппаратных средств, стремящихся увеличить безопасность электронной коммерции, онлайн-банкинг и денежные переводы.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с ОС Windows]

Два продукта Gridsure касаются входа на компьютер под управлением Microsoft Windows, После установки программного обеспечения Gridsure пользователь выбирает шаблон из пяти квадратных квадратов. Компания называет это «персональной идентификационной схемой» пользователя (PIP). Шаблон связан с реальным паролем пользователя.

Каждый раз, когда пользователь входит в систему на ПК, в сетке появляются разные цифры. Пользователь вводит числа, соответствующие их шаблону. Числа несущественны; только шаблон имеет значение. Если присутствует регистратор нажатия клавиш, он может подбирать номера, соответствующие этому шаблону, но эта последовательность больше не будет использоваться.

Банки все чаще отправляют одноразовые генераторы паролей своим клиентам. Устройства - это аппаратные токены, которые отображают номер, который позволит человеку войти на веб-сайт в течение очень ограниченного периода времени в качестве расширенной меры безопасности.

Руководитель GrIDsure Джонатан Креймер, бывший журналист, который придумал сетку концепция, сказал, поскольку система только на основе программного обеспечения, это дешевле, чем покупка аппаратных токенов. Кроме того, людям легче запоминать шаблон, а не множество ПИН.

Gridsure медленно снимается из-за широкого процесса проверки, который должны пройти новые технологии аутентификации, чтобы обеспечить их безопасность. Но Craymer сказал, что Microsoft, Novell и другие компании проявили к этому интерес. Gridsure также представила систему на правительственную схему тестирования U.K., сказал Креймер.

Простота системы заключается в ее силе, а также ее безопасности, пишет Graham Titterington, главный аналитик Ovum, в исследовательской записке. Он также имеет широкую применимость и может быть включен в веб-сайты, а также другие сценарии.

«Эта схема может быть реализована на компьютерах, мобильных телефонах, банкоматах и ​​специализированных устройствах смарт-карт», - писал Титерингтон.

Однако, по крайней мере один исследователь безопасности в Кембриджском университете оспаривает, насколько устойчивым Gridsure является занятие серфингом.

«Плечевые серферы могли бы научиться лучше определять шаблоны, вероятно, в отношении общих паттернов», писал Майк Бонд в комментарии от марта 2008 г.

Gridsure также не может быть устойчивым к устройствам с точки зрения продажи, которые были подделаны, пишет он. В новостных отчетах недавно была представлена ​​схема, в которой устройства для продажи товаров у нескольких розничных торговцев U.K были сфальсифицированы для записи ПИН и данных магнитной полосы кредитных карт. На протяжении большей части Европы потребители должны ввести PIN-код до завершения покупки, систему, известную как «чип-код и PIN-код».

«Саботируемый терминал может записывать весь вызов и ответ», - писал Бонд.

Craymer сказал, что знает отчет о Бонде, и «мне не очень важно комментировать его точку зрения».

Однако другой профессор Университета Кембриджа написал в июне 2006 года, что GrIDsure по-прежнему безопаснее, чем чип-код и PIN-код.

Пятиквадратная пятиквадратичная сетка предлагает 390 625 возможных шаблонов персональной идентификации, состоящих из четырех чисел, пишет Ричард Вебер, профессор статистической лаборатории Департамента чистой математики и математической статистики в Кембриджском университете.

«Напротив, в традиционном чипе и PIN-кодах есть всего 10 000 четырехзначных контактов», - писал Вебер. «Таким образом, существует много ПИПов, чем ПИН, и вору угадайте четырехпроцессорный ПИП, чем угадать четырехзначный ПИН».