Acesso ao fornecedor O GridSure usa padrões para lembrar os PINs

Uma startup britânica desenvolveu um sistema de autenticação que exige que os usuários lembrem um padrão em uma grade de números em vez de um PIN (número de identificação pessoal).

O sistema da GrIDsure é mais resistente aos chamados " surfar no ombro ", ou ser visto digitando um login ou senha, e para denunciar keyloggers, que são programas clandestinos que gravam as teclas.

GrIDsure é uma pequena empresa em um mercado muito competitivo de fornecedores de software e hardware de autenticação que se esforça para aumentar segurança do e-commerce, serviços bancários on-line e transferências de dinheiro

[Outras leituras: Como remover malware do seu PC com Windows]

Dois produtos da GrIDsure dizem respeito ao login em um PC com Windows da Microsoft. Quando o software do GrIDsure é instalado, um usuário escolhe um padrão de uma grade de cinco quadrados por cinco quadrados. A empresa chama de "padrão de identificação pessoal" (PIP) do usuário. O padrão está associado à senha real da pessoa.

Toda vez que o usuário efetua logon no PC, números diferentes aparecem na grade. O usuário insere os números que correspondem ao seu padrão. Os números são inconsequentes; apenas o padrão é importante. Se um registrador de batidas de tecla estiver presente, ele poderá pegar os números correspondentes a esse padrão, mas essa sequência não será usada novamente.

Os bancos estão enviando cada vez mais geradores de senhas de uso único para seus clientes. Os dispositivos são tokens de hardware que exibem um número que permitirá que uma pessoa faça o login em um site por um período muito limitado de tempo como uma medida de segurança reforçada.

O presidente da GrIDsure, Jonathan Craymer, um ex-jornalista que criou a grade conceito, já que o sistema é apenas baseado em software, é mais barato do que comprar tokens de hardware. Também é mais fácil para as pessoas lembrarem de um padrão em vez de uma grande quantidade de PINs.

O GrIDsure tem decolado devido ao amplo processo de verificação que as novas tecnologias de autenticação devem passar para garantir sua segurança. Mas Craymer afirmou que a Microsoft, a Novell e outras empresas manifestaram interesse por isso. O GrIDsure também submeteu o sistema a um esquema de testes do governo do Reino Unido, disse Craymer.

A simplicidade do sistema é sua força, assim como sua segurança, escreveu Graham Titterington, analista principal da Ovum, em uma nota de pesquisa. Ele também tem ampla aplicabilidade e pode ser incorporado em sites da Web, bem como em outros cenários, escreveu ele. "O esquema pode ser implementado em computadores, telefones celulares, máquinas ATM e dispositivos de cartão inteligente especializados", escreveu Titterington. > No entanto, pelo menos um pesquisador de segurança da Universidade de Cambridge contestou como o GrIDsure é resistente ao surfar.

"Os surfistas de ombro poderiam aprender especificamente a determinar padrões de uma maneira melhor, provavelmente em referência a padrões comuns", escreveu Mike. Bond em um comentário de março de 2008

O GrIDsure também pode não ser resistente em dispositivos de ponto de venda que foram adulterados, escreveu ele. Os relatórios de notícias detalharam recentemente um esquema onde os dispositivos de ponto de venda em vários varejistas do Reino Unido foram manipulados para registrar os PINs e os dados das tarjas magnéticas dos cartões de crédito. Em quase toda a Europa, os consumidores devem digitar um PIN antes de concluir uma compra, um sistema conhecido como "chip e PIN".

"O terminal sabotado pode registrar todo um desafio e resposta", escreveu Bond.

Craymer disse que está ciente do relatório Bond e "não é realmente para mim comentar sua opinião".

No entanto, outro professor da Universidade de Cambridge escreveu em uma avaliação de junho de 2006 que o GrIDsure ainda é mais seguro do que chip e PIN.

Uma grade de cinco quadrados por cinco quadrados oferece 390.625 padrões de identificação pessoal possíveis, compostos de quatro números, escreveu Richard Weber, professor do laboratório de estatística do Departamento de Matemática Pura e Estatística Matemática da Universidade de Cambridge. >"Por outro lado, no tradicional chip e PIN, há apenas 10.000 pinos de quatro dígitos", escreveu Weber. "Portanto, há muito mais PIPs do que PINs, e é muito mais difícil para um ladrão adivinhar um PIP de quatro células do que adivinhar um PIN de quatro dígitos."