Zugriff auf Vendor GridSure Verwendet Muster zum Speichern von PINs

Ein britisches Start-up hat ein Authentifizierungssystem entwickelt, bei dem sich Benutzer ein Muster in einem Zahlenraster anstelle einer PIN (persönliche Identifikationsnummer) merken müssen.

Das System von GrIDsure soll resistenter gegen so genannte " Englisch: www.mjfriendship.de/en/index.php?op…=view&id=167 GrIDsure ist ein kleines Unternehmen in einem hart umkämpften Markt von Authentifizierungs - Software - und Hardware - Anbietern, die bestrebt sind, die Zahl der Nutzer zu erhöhen Sicherheit von E-Commerce, Online-Banking und Geldtransfers.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Zwei der GrIDsure-Produkte betreffen die Anmeldung an einem PC unter Microsoft Windows. Sobald die GrIDsure-Software installiert ist, wählt ein Benutzer ein Muster aus einem Raster von fünf Quadraten und fünf Quadraten aus. Das Unternehmen nennt es das "Personal Identification Pattern" (PIP) des Benutzers. Das Muster ist dem echten Passwort der Person zugeordnet.

Jedes Mal, wenn sich der Benutzer am PC anmeldet, erscheinen unterschiedliche Nummern im Raster. Der Benutzer gibt die Nummern ein, die seinem Muster entsprechen. Die Zahlen sind belanglos; nur das Muster ist wichtig. Wenn ein Tastenanschlaglogger vorhanden ist, könnte er die diesem Muster entsprechenden Nummern aufnehmen, diese Sequenz wird jedoch nicht erneut verwendet.

Banken senden zunehmend Einmalpasswortgeneratoren an ihre Clients. Die Geräte sind Hardwaretoken, die eine Nummer anzeigen, die es einer Person erlaubt, sich für eine sehr begrenzte Zeit als erweiterte Sicherheitsmaßnahme bei einer Website anzumelden.

GRIDsure-Vorsitzender Jonathan Craymer, ein ehemaliger Journalist, der das Raster entworfen hat Konzept, sagte, da das System nur Software-basiert ist, ist es billiger als der Kauf von Hardware-Tokens. Es ist auch einfacher, sich an ein Muster als an eine Vielzahl von PINs zu erinnern.

GrIDsure wurde aufgrund des umfassenden Prüfprozesses, den neue Authentifizierungstechnologien durchlaufen müssen, um ihre Sicherheit zu gewährleisten, langsam gestartet. Aber Craymer sagte, dass Microsoft, Novell und andere Firmen Interesse daran bekundet haben. Laut Craymer hat GrIDsure das System auch einem britischen Regierungstestprogramm vorgelegt.

Die Einfachheit des Systems ist sowohl seine Stärke als auch seine Sicherheit, schrieb Graham Titterington, Principal Analyst bei Ovum, in einer Forschungsnotiz. Es hat auch breite Anwendbarkeit und könnte in Websites sowie andere Szenarien integriert werden, schrieb er.

"Das Schema kann auf Computern, Mobiltelefonen, Geldautomaten und speziellen Smartcard-Geräten implementiert werden", schrieb Titterington.

Allerdings hat mindestens ein Sicherheitsforscher an der Universität Cambridge darüber gestritten, wie resistent GrIDsure ist, um zu surfen.

"Schulter-Surfer könnten gezielt lernen, Muster besser zu bestimmen, wahrscheinlich in Bezug auf gängige Muster", schrieb Mike Bond in einem Kommentar vom März 2008.

GRIDsure ist möglicherweise auch nicht resistent gegen Point-of-Sale-Geräte, die manipuliert wurden, schrieb er. In Nachrichtenberichten wurde kürzlich ein Schema beschrieben, bei dem Verkaufsstellenvorrichtungen bei mehreren britischen Einzelhändlern manipuliert worden waren, um PINs und Magnetstreifendaten von Kreditkarten aufzuzeichnen. Überall in Europa müssen Verbraucher eine PIN eingeben, bevor sie einen Kauf abschließen, ein System, das als "Chip-und-PIN" bekannt ist.

"Das sabotierte Terminal kann eine komplette Herausforderung und Antwort aufzeichnen", schrieb Bond.

Craymer Er sagte, er sei sich des Bond-Berichts bewusst und "es ist nicht wirklich meine Meinung zu kommentieren."

Ein anderer Professor der University of Cambridge schrieb jedoch im Juni 2006, GrIDsure sei immer noch sicherer als Chip-und-PIN.

Ein Raster von fünf bis fünf Quadratzentimeter bietet 390.625 mögliche persönliche Identifikationsmuster, die aus vier Zahlen bestehen, schrieb Richard Weber, Professor im statistischen Labor der Abteilung für reine Mathematik und mathematische Statistik an der Universität Cambridge.

"Im Gegensatz dazu gibt es im herkömmlichen Chip-und-PIN nur 10.000 vierstellige Pins", schrieb Weber. "Es gibt also viel mehr PIPs als PINs, und es ist für einen Dieb viel schwieriger, einen Vier-Zellen-PIP zu erraten, als eine vierstellige PIN zu erraten."