GridSure utilise des motifs à mémoriser Code PIN

Une start-up britannique a développé un système d'authentification qui oblige les utilisateurs à se souvenir d'un modèle sur une grille de chiffres plutôt qu'un code PIN (numéro d'identification personnel).

Le système de GrIDsure est plus résistant à ce qu'on appelle surfant sur l'épaule, ou étant vu en tapant un identifiant ou un mot de passe, et pour défier les enregistreurs de frappe, qui sont des programmes clandestins enregistrant des frappes.

GrIDsure est une petite entreprise sur un marché très compétitif de fournisseurs de logiciels et matériels d'authentification.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

Deux des produits de GrIDsure concernent la connexion à un PC sous Microsoft Windows. Une fois le logiciel GrIDsure installé, un utilisateur sélectionne un motif à partir d'une grille de cinq carrés sur cinq carrés. La société l'appelle le «modèle d'identification personnel» (PIP) de l'utilisateur. Le motif est associé au mot de passe réel de la personne

Chaque fois que l'utilisateur se connecte au PC, des numéros différents apparaissent dans la grille. L'utilisateur entre les chiffres qui correspondent à leur modèle. Les chiffres sont sans conséquence; seul le motif compte. Si un enregistreur de frappe est présent, il peut récupérer les numéros correspondant à ce modèle, mais cette séquence ne sera plus utilisée.

Les banques envoient de plus en plus de générateurs de mots de passe à usage unique à leurs clients. Les périphériques sont des jetons matériels qui affichent un numéro permettant à une personne de se connecter à un site Web pour une durée de sécurité limitée.

Le président de GrIDsure, Jonathan Craymer, un ancien journaliste qui a créé la grille concept, dit puisque le système est uniquement basé sur le logiciel, c'est moins cher que d'acheter des jetons matériels. Il est également plus facile pour les gens de se souvenir d'un modèle plutôt que d'une multitude de codes PIN.

GrIDsure a été lent à décoller en raison du large processus de validation que doivent suivre les nouvelles technologies d'authentification pour garantir leur sécurité. Mais Craymer a déclaré Microsoft, Novell et d'autres entreprises ont exprimé leur intérêt pour cela. Grymsure a également soumis le système à un programme de tests gouvernemental au Royaume-Uni, a déclaré Craymer.

La simplicité du système est sa force, ainsi que sa sécurité, écrit Graham Titterington, analyste principal chez Ovum, dans une note de recherche.

"Le système peut être mis en œuvre sur des ordinateurs, des téléphones portables, des distributeurs automatiques de billets et des dispositifs de cartes à puce spécialisés", a écrit M. Titterington.

Cependant, au moins un chercheur en sécurité à l'Université de Cambridge a contesté la résistance de GrIDsure à surfer sur le surf.

"Les surfeurs pouvaient apprendre à mieux déterminer les modèles, probablement en référence à des modèles communs" Bond dans un commentaire de mars 2008

GrIDsure peut également ne pas être résistant dans les dispositifs de point de vente qui ont été falsifiés, écrit-il. Des rapports de presse ont récemment détaillé un système dans lequel des dispositifs de points de vente de plusieurs détaillants britanniques avaient été calibrés pour enregistrer les codes PIN et les données de bandes magnétiques des cartes de crédit. Dans la majeure partie de l'Europe, les consommateurs doivent entrer un code PIN avant d'effectuer un achat, un système connu sous le nom de «puce et PIN».

«Le terminal saboté peut enregistrer un défi et une réponse entiers». Il a dit qu'il était au courant du rapport de Bond et que «ce n'est pas vraiment mon opinion».

Cependant, un autre professeur de l'Université de Cambridge a écrit dans une évaluation de juin 2006 que GrIDsure est toujours plus sûr que le chip-and-PIN.

Une grille de cinq carrés par cinq carrés offre 390 625 schémas d'identification personnels possibles composés de quatre nombres, écrit Richard Weber, professeur au laboratoire de statistique du Département de mathématiques pures et de statistiques mathématiques de l'Université de Cambridge.

"En revanche, dans la puce et le PIN traditionnels, il n'y a que 10 000 broches à quatre chiffres", écrit Weber. "Il y a donc beaucoup plus de PIP que de PIN, et il est beaucoup plus difficile pour un voleur de deviner un PIP à quatre cellules que de deviner un PIN à quatre chiffres."