Microsoft heeft voor het eerst uitgebreid uitleg gegeven over de werking van het foto-wachtwoord in Windows 8. Met de nieuwe functionaliteit wil de softwaregigant het eenvoudiger voor gebruikers van een touchscreen maken om in te loggen. Daarnaast moet het zwakke wachtwoorden elimineren. In plaats van een invoerveld van een wachtwoord, krijgen gebruikers een zelf gekozen foto te zien waarop ze een aantal bewegingen moeten maken.
In plaats van een door Microsoft geleverde afbeelding, moeten gebruikers zelf een afbeelding kiezen. "Omdat dit zowel de veiligheid als het herinneren van het wachtwoord versterkt", zegt Zach Pace, manager van het 'You Centered Experience' team. Bij het maken van de bewegingen kijkt Windows niet alleen naar de locatie en de vorm, maar ook naar de manier waarop bijvoorbeeld een cirkel getekend wordt. Iemand die het foto-wachtwoord wil kraken, moet niet alleen de beweging, maar ook de tekenrichting kennen.
Het aantal te kiezen bewegingen is beperkt. Microsoft experimenteerde met zelf te maken bewegingen, maar dat zorgde ervoor dat het veel langer duurde voordat gebruikers konden inloggen. "We zochten naar een oplossing die veel sneller was dan een touch keyboard', aldus Pace. "Gebruikers werden vertraagd door het concept, en dachten dat ze zeer precies de details van de beweging moesten nabootsen." Door met een beperkte verzameling van bewegingen te werken, zouden gebruikers drie keer zo snel inloggen. Na een aantal keren wisten gebruikers gemiddeld met de standaard beweging in vier seconden in te loggen, terwijl de "free form" versie gemiddeld zeventien seconden duurde.
Voor het aanmaken van een foto-wachtwoord kiest de gebruiker een afbeelding en maakt daar een aantal bewegingen op. Bij het inloggen via "Picture Password" wordt vervolgens naar de eerder opgegeven bewegingen gekeken.
Veilig
Volgens Microsoft is het systeem ook veel veiliger dan een traditioneel wachtwoord of pincode. Bij een pincode zijn er voor de vier posities in totaal tienduizend mogelijkheden. Met een wachtwoord van acht karakters bestaande uit alleen kleine letters, zijn er 208 miljard mogelijkheden. Pace merkt op dat veel gebruikers geen totaal willekeurig wachtwoord kiezen en dat het vaak veel voorkomende woorden zijn, of privégegevens die eenvoudig zijn te achterhalen.
Gegeven deze voorwaarden zou een wachtwoord van acht karakters, met zes kleine letters, één hoofdletter en één cijfer, negen biljoen mogelijkheden hebben. Wordt er echter naar bewegingen gekeken, dan ligt het aantal combinaties veel hoger. Zelfs als er van de eenvoudigste bewegingen wordt uitgegaan. Acht "tap" bewegingen zouden bij elkaar 13 biljard mogelijkheden hebben. Wordt er echter gewerkt met vijf verschillende bewegingen, dan zijn er 398 biljoen mogelijkheden.
Tekstwachtwoord
Om brute force-aanvallen tegen te gaan, heeft Microsoft verschillende beveiligingsmaatregelen ingebouwd. Wordt het wachtwoord vijf keer verkeerd ingevoerd, dan moet de gebruiker eerst met zijn tekstwachtwoord inloggen. Daarnaast werkt het foto-wachtwoord niet voor netwerk en remote scenario's, waarbij er op afstand wordt gewerkt. Dat zou netwerkaanvallen in de toekomst moeten voorkomen.
"Het foto-wachtwoord is een inlogmechanisme dat een aanvulling op en geen vervanging van je tekstwachtwoord is. Kies dan ook een goede hint voor je tekstwachtwoord en hou het veilig, omdat je hier altijd mee kunt inloggen", aldus Pace. Voor systeembeheerders zal het echter mogelijk zijn om op computers in te stellen of de functie gebruikt mag worden. "We weten dat er verschillende bedrijven zijn voor wie veiligheid zeer belangrijk is en dat allesbehalve een volledig wachtwoord onacceptabel is. Voor deze systeembeheerders hebben we een group policy geïmplementeerd."
Deze posting is gelocked. Reageren is niet meer mogelijk.