Acceso proveedor GridSure usa patrones para recordar PIN

Una startup británica ha desarrollado un sistema de autenticación que requiere que los usuarios recuerden un patrón en una grilla de números en lugar de un PIN (número de identificación personal).

El sistema de GrIDsure pretende ser más resistente a los llamados " "Surf en el hombro", o ser visto escribiendo un nombre de usuario o contraseña, y para derrotar a los registradores de pulsaciones, que son programas clandestinos que registran las pulsaciones de teclas.

GrIDsure es una compañía pequeña en un mercado muy competitivo de vendedores de software y hardware de autenticación. seguridad del comercio electrónico, banca en línea y transferencias de dinero.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Dos de los productos de GrIDsure se refieren a iniciar sesión en una PC con Windows de Microsoft. Una vez que se instala el software de GrIDsure, el usuario elige un patrón de una cuadrícula de cinco cuadrados por cinco cuadrados. La compañía lo llama el "patrón de identificación personal" (PIP) del usuario. El patrón está asociado con la contraseña real de la persona.

Cada vez que el usuario inicia sesión en la PC, aparecen diferentes números en la cuadrícula. El usuario ingresa los números que corresponden a su patrón. Los números son inconsecuentes; solo el patrón importa. Si hay un registrador de pulsaciones de teclas presente, podría recoger los números correspondientes a ese patrón, pero esa secuencia no se volverá a utilizar.

Los bancos están enviando cada vez más generadores de contraseñas de una sola vez a sus clientes. Los dispositivos son tokens de hardware que muestran un número que permitirá a una persona iniciar sesión en un sitio web por un período de tiempo muy limitado como una medida de seguridad mejorada.

Presidente de GrIDsure Jonathan Craymer, un ex periodista que creó la grilla concepto, dicho ya que el sistema está basado solo en software, es más barato que comprar tokens de hardware. También es más fácil para las personas recordar un patrón en lugar de una multitud de PIN.

GrIDsure ha tardado en despegar debido al amplio proceso de investigación que deben pasar las nuevas tecnologías de autenticación para garantizar su seguridad. Pero Craymer dijo que Microsoft, Novell y otras compañías han expresado interés en ello. Gridsure también ha presentado el sistema a un esquema de pruebas del gobierno de Estados Unidos, dijo Craymer.

La simplicidad del sistema es su fortaleza, así como su seguridad, escribió Graham Titterington, analista principal de Ovum, en una nota de investigación. También tiene una amplia aplicabilidad y podría ser incorporado a los sitios web, así como a otros escenarios, escribió.

"El esquema puede implementarse en computadoras, teléfonos móviles, cajeros automáticos y dispositivos especializados de tarjetas inteligentes", escribió Titterington.

Sin embargo, al menos un investigador de seguridad de la Universidad de Cambridge ha discutido qué tan resistente es GrIDsure al hombro.

"Los surfistas pueden aprender a determinar patrones de una mejor manera, probablemente en referencia a patrones comunes", escribió Mike. Bond en un comentario de marzo de 2008.

GrIDsure tampoco puede ser resistente en dispositivos de puntos de venta que han sido manipulados, escribió. Los informes de noticias detallaron recientemente un esquema en el que los dispositivos de punto de venta en varios minoristas del Reino Unido se habían manipulado para registrar los PIN y los datos de banda magnética de las tarjetas de crédito. En la mayor parte de Europa, los consumidores deben ingresar un PIN antes de completar una compra, un sistema conocido como "chip-and-PIN".

"El terminal saboteado puede registrar todo un desafío y respuesta", escribió Bond.

Craymer dijo que estaba al tanto del informe de Bond y que "no me corresponde a mí comentar su opinión".

Sin embargo, otro profesor de la Universidad de Cambridge escribió en una evaluación de junio de 2006 que GrIDsure es aún más seguro que chip-and-PIN.

Una cuadrícula de cinco cuadrados por cinco cuadrados ofrece 390,625 posibles patrones de identificación personal que constan de cuatro números, escribió Richard Weber, profesor en el laboratorio de estadística del Departamento de Matemáticas Puras y Estadística Matemática de la Universidad de Cambridge.

"Por el contrario, en chip-and-PIN tradicional hay solo 10,000 pins de cuatro dígitos", escribió Weber. "Entonces hay muchos más PIP que PIN, y es mucho más difícil para un ladrón adivinar un PIP de cuatro celdas que adivinar un PIN de cuatro dígitos".