Vendor Akses GridSure Menggunakan Pola untuk Mengingat PIN

Startup Inggris telah mengembangkan sistem otentikasi yang mengharuskan pengguna untuk mengingat pola di grid angka daripada PIN (nomor identifikasi pribadi).

Sistem GrIDsure dimaksudkan untuk lebih tahan terhadap apa yang disebut " selancar bahu, "atau terlihat mengetikkan login atau kata sandi, dan untuk mengalahkan keyloggers, yang merupakan program rahasia yang mencatat penekanan tombol.

GrIDsure adalah perusahaan kecil di pasar yang sangat kompetitif dari perangkat lunak otentikasi dan vendor perangkat keras yang berusaha meningkatkan keamanan e-commerce, perbankan online, dan transfer uang.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Dua produk GrIDsure terkait dengan masuk ke PC yang menjalankan Microsoft Windows. Setelah perangkat lunak GrIDsure diinstal, pengguna mengambil pola dari kotak lima persegi lima persegi. Perusahaan menyebutnya "pola identifikasi pribadi" (PIP) pengguna. Pola ini terkait dengan kata sandi asli seseorang.

Setiap kali pengguna log on ke PC, nomor yang berbeda muncul di grid. Pengguna memasukkan angka-angka yang sesuai dengan pola mereka. Angka-angka itu tidak penting; hanya pola yang penting. Jika logger keystroke hadir, itu bisa mengambil nomor yang sesuai dengan pola itu, tetapi urutan itu tidak akan digunakan lagi.

Bank semakin mengirimkan satu kali generator kata sandi kepada klien mereka. Perangkat ini adalah token perangkat keras yang menampilkan nomor yang memungkinkan seseorang untuk masuk ke situs Web untuk jumlah waktu yang sangat terbatas sebagai tindakan keamanan yang ditingkatkan.

Ketua GrIDsure Jonathan Craymer, mantan jurnalis yang datang dengan grid konsep, mengatakan karena sistem ini hanya berbasis perangkat lunak, itu lebih murah daripada membeli token perangkat keras. Lebih mudah bagi orang untuk mengingat pola daripada banyak PIN.

GrIDsure lambat untuk lepas landas karena proses pemeriksaan yang luas yang harus dilalui teknologi otentikasi baru untuk memastikan keamanannya. Namun Craymer mengatakan Microsoft, Novell dan perusahaan lain telah menyatakan minatnya. GrIDsure juga telah mengirimkan sistem ke skema pengujian pemerintah Inggris, kata Craymer.

Kesederhanaan sistem adalah kekuatannya, serta keamanannya, tulis Graham Titterington, analis utama di Ovum, dalam catatan penelitian. Ini juga memiliki penerapan yang luas dan dapat dimasukkan ke dalam situs Web serta skenario lainnya, tulisnya.

"Skema ini dapat diimplementasikan pada komputer, telepon seluler, mesin ATM dan perangkat kartu pintar spesialis," tulis Titterington.

Namun, setidaknya satu peneliti keamanan di University of Cambridge telah memperdebatkan bagaimana tahan GrIDsure adalah untuk selancar bahu.

"Bahu surfer dapat secara khusus belajar untuk menentukan pola dengan cara yang lebih baik, mungkin mengacu pada pola umum," tulis Mike. Obligasi dalam komentar Maret 2008.

GrIDsure mungkin juga tidak tahan di perangkat tempat penjualan yang telah dirusak, tulisnya. Laporan berita baru-baru ini memerinci skema tempat perangkat penjualan di beberapa pengecer Inggris telah dicurangi untuk mencatat PIN dan data strip magnetik kartu kredit. Di sebagian besar Eropa, konsumen harus memasukkan PIN sebelum menyelesaikan pembelian, sistem yang dikenal sebagai "chip-and-PIN."

"Terminal sabotase dapat merekam seluruh tantangan dan respons," tulis Bond.

Craymer mengatakan dia menyadari laporan Obligasi dan "itu tidak benar-benar bagi saya untuk mengomentari pandangannya."

Namun, profesor Universitas Cambridge lainnya menulis dalam evaluasi Juni 2006 bahwa GrIDsure masih lebih aman daripada chip-dan-PIN.

Kotak lima persegi dengan lima persegi menawarkan 390.625 kemungkinan pola identifikasi pribadi yang terdiri dari empat angka, tulis Richard Weber, seorang profesor di laboratorium statistik Departemen Matematika Murni dan Statistik Matematika di Universitas Cambridge.

"Sebaliknya, dalam chip-dan-PIN tradisional hanya ada 10.000 pin empat digit," tulis Weber. "Jadi ada banyak PIP daripada PIN, dan jauh lebih sulit bagi pencuri untuk menebak PIP empat-sel daripada menebak PIN empat digit."