一家英国初创公司开发了一种认证系统,要求用户记住一个数字格式而不是PIN码(个人识别号码)。
GrIDsure的系统旨在对所谓的“肩上冲浪“,或者在登录或密码中输入内容,并击败键盘记录器,这是秘密程序记录击键的方式。
GrIDsure是一家小型公司,处于竞争激烈的认证软件和硬件供应商市场,致力于增加电子商务的安全性,网上银行和汇款。
[进一步阅读:如何从Windows PC删除恶意软件]GrIDsure的两款产品涉及登录到运行Microsoft Windows的PC 。一旦安装了GrIDsure的软件,用户就可以从五平方五格的网格中选择一种模式。该公司称之为用户的“个人识别模式”(PIP)。该模式与该人的真实密码相关联。
每次用户登录到PC时,网格中都会显示不同的数字。用户输入与他们的模式相对应的数字。这些数字是无关紧要的;只有模式很重要。如果存在按键记录器,它可以选择与该模式相对应的数字,但该序列不会再使用。
银行越来越多地向其客户端发送一次性密码生成器。这些设备是硬件令牌,显示一个数字,允许一个人在一个非常有限的时间内登录到一个网站,作为一个增强的安全措施。
GrIDsure主席Jonathan Craymer,一位提出电网的前记者概念,由于该系统仅基于软件,因此比购买硬件令牌便宜。人们也更容易记住一个模式,而不是多个PIN。
由于广泛的审查过程,新的认证技术必须经过以确保其安全,GrIDsure起步缓慢。但Craymer表示,微软,Novell和其他公司已表示对此感兴趣。 Craymer表示,GrIDsure也已将该系统提交给英国政府的测试计划,该系统的简单性在于它的优势以及其安全性,Ovum的首席分析师Graham Titterington在一份研究报告中写道。他写道:“该方案还可以在计算机,手机,ATM机和专业智能卡设备上实现,”它还具有广泛的适用性,可以并入网站以及其他场景中。“Titterington写道。 >但是,至少有一位剑桥大学的安全研究人员对GrIDsure是如何抵抗冲浪有争议。“”冲浪者可以专门学习如何以更好的方式确定模式,可能是参考常见模式,“Mike写道Bond在2008年3月的一篇评论中称。
他写道,GrIDsure在被篡改的销售点设备中也可能没有抵抗能力。最近的新闻报道详细描述了一个计划,在这个计划中,几家英国零售商的销售点设备被操纵以记录个人识别号码和信用卡的磁条数据。在整个欧洲大部分地区,消费者必须在完成购买之前输入个人识别码,这种系统称为“芯片和PIN码”。
“破坏性终端可以记录整个挑战和响应,”邦德写道。说他知道债券报告和“这不是我真正的评论他的观点。”然而,剑桥大学的另一位教授在2006年6月的评估中写道,GrIDsure仍然比芯片和PIN更安全。
剑桥大学纯数学和数理统计系统主任理查德韦伯写道,一个五平方五格的网格提供了390,625个可能的个人识别模式,由四个数字组成。 >“相比之下,在传统的芯片和PIN中只有10,000个四位引脚,”韦伯写道。 “所以有更多的PIP比PIN更多,而且小偷猜测四格PIP比猜测四位PIN更困难。”