image

Microsoft onthult foto-wachtwoord Windows 8

zondag 18 december 2011, 09:44 door Redactie, 14 reacties

Microsoft heeft voor het eerst uitgebreid uitleg gegeven over de werking van het foto-wachtwoord in Windows 8. Met de nieuwe functionaliteit wil de softwaregigant het eenvoudiger voor gebruikers van een touchscreen maken om in te loggen. Daarnaast moet het zwakke wachtwoorden elimineren. In plaats van een invoerveld van een wachtwoord, krijgen gebruikers een zelf gekozen foto te zien waarop ze een aantal bewegingen moeten maken.

In plaats van een door Microsoft geleverde afbeelding, moeten gebruikers zelf een afbeelding kiezen. "Omdat dit zowel de veiligheid als het herinneren van het wachtwoord versterkt", zegt Zach Pace, manager van het 'You Centered Experience' team. Bij het maken van de bewegingen kijkt Windows niet alleen naar de locatie en de vorm, maar ook naar de manier waarop bijvoorbeeld een cirkel getekend wordt. Iemand die het foto-wachtwoord wil kraken, moet niet alleen de beweging, maar ook de tekenrichting kennen.

Het aantal te kiezen bewegingen is beperkt. Microsoft experimenteerde met zelf te maken bewegingen, maar dat zorgde ervoor dat het veel langer duurde voordat gebruikers konden inloggen. "We zochten naar een oplossing die veel sneller was dan een touch keyboard', aldus Pace. "Gebruikers werden vertraagd door het concept, en dachten dat ze zeer precies de details van de beweging moesten nabootsen." Door met een beperkte verzameling van bewegingen te werken, zouden gebruikers drie keer zo snel inloggen. Na een aantal keren wisten gebruikers gemiddeld met de standaard beweging in vier seconden in te loggen, terwijl de "free form" versie gemiddeld zeventien seconden duurde.

Voor het aanmaken van een foto-wachtwoord kiest de gebruiker een afbeelding en maakt daar een aantal bewegingen op. Bij het inloggen via "Picture Password" wordt vervolgens naar de eerder opgegeven bewegingen gekeken.


Veilig
Volgens Microsoft is het systeem ook veel veiliger dan een traditioneel wachtwoord of pincode. Bij een pincode zijn er voor de vier posities in totaal tienduizend mogelijkheden. Met een wachtwoord van acht karakters bestaande uit alleen kleine letters, zijn er 208 miljard mogelijkheden. Pace merkt op dat veel gebruikers geen totaal willekeurig wachtwoord kiezen en dat het vaak veel voorkomende woorden zijn, of privégegevens die eenvoudig zijn te achterhalen.

Gegeven deze voorwaarden zou een wachtwoord van acht karakters, met zes kleine letters, één hoofdletter en één cijfer, negen biljoen mogelijkheden hebben. Wordt er echter naar bewegingen gekeken, dan ligt het aantal combinaties veel hoger. Zelfs als er van de eenvoudigste bewegingen wordt uitgegaan. Acht "tap" bewegingen zouden bij elkaar 13 biljard mogelijkheden hebben. Wordt er echter gewerkt met vijf verschillende bewegingen, dan zijn er 398 biljoen mogelijkheden.

Tekstwachtwoord
Om brute force-aanvallen tegen te gaan, heeft Microsoft verschillende beveiligingsmaatregelen ingebouwd. Wordt het wachtwoord vijf keer verkeerd ingevoerd, dan moet de gebruiker eerst met zijn tekstwachtwoord inloggen. Daarnaast werkt het foto-wachtwoord niet voor netwerk en remote scenario's, waarbij er op afstand wordt gewerkt. Dat zou netwerkaanvallen in de toekomst moeten voorkomen.

"Het foto-wachtwoord is een inlogmechanisme dat een aanvulling op en geen vervanging van je tekstwachtwoord is. Kies dan ook een goede hint voor je tekstwachtwoord en hou het veilig, omdat je hier altijd mee kunt inloggen", aldus Pace. Voor systeembeheerders zal het echter mogelijk zijn om op computers in te stellen of de functie gebruikt mag worden. "We weten dat er verschillende bedrijven zijn voor wie veiligheid zeer belangrijk is en dat allesbehalve een volledig wachtwoord onacceptabel is. Voor deze systeembeheerders hebben we een group policy geïmplementeerd."

Reacties (14)
18-12-2011, 10:59 door SLight
Ik ben benieuwd hoe groot de foutmarge is en zou dit zo ook te misbruiken zijn. Deze inlogoptie lijkt me niet veiliger dan een lang wachtwoord, omdat het meekijken met een foto alsnog makkelijker is dan het zien van een aantal zwarte stippen op het scherm. Van een wachtwoord dat iemand in tikt kan je zo'n 5 tekens onthouden en daarna al niet meer, maar bij een foto lijkt me dit makkelijker.
18-12-2011, 12:16 door Anoniem
Wat een onzin weer van MS.
"Bij een pincode zijn er voor de vier posities in totaal tienduizend mogelijkheden. Met een wachtwoord van acht karakters bestaande uit alleen kleine letters, zijn er 208 miljard mogelijkheden."

Bij mijn iPhone krijg je "slechts" 4 pogingen, waarna de telefoon geblokkeerd is of volledig geformateerd word wanneer ik dat instel.
Ik zie geen enkele GSM dief tienduizend x proberen om in te kunnen loggen op de telefoon, iedere GSM dief zal de telefoon gewoonweg terugzetten naar Fabrieksstandaard en gewoon voor zichzelf gebruiken of doorverkopen via Marktplaats.

"Na een aantal keren wisten gebruikers gemiddeld met de standaard beweging in vier seconden in te loggen, terwijl de "free form" versie gemiddeld zeventien seconden duurde."
17 seconden??? Echt MS weer, alsof 4 seconden zo revolutionair is, ik log met 2 seconden in en weet 100% zeker dat niemand mijn pincode zal raden, zelfs niet in die 10.000 pogingen die daarvoor nodig zijn.
18-12-2011, 12:30 door SLight
microsoft probeert uit de menigte te springen met deze 'revolutionaire' techniek. Het lijkt me echter geïnspireerd door de bolletjes verbinden op Android. Fysieke beveiliging naast een wachtwoord nog steeds een goede zaak.
18-12-2011, 12:34 door Anoniem
Elke nieuwe vorm van inloggen zal tijdelijk wat veiliger zijn. Er zijn namelijk nog geen aanvallen voor ontwikkeld. Zodra het qua volumes gebruikers zinvol wordt, zullen zich daar ook aanvallen voor ontwikkelen. Dan zullen we zien of het echt veiliger is.

Zowiezo maakt het gebruik van al die mobiele devices het afkijken van inlog-sequenties eenvoudiger, omdat je dit vaker op publieke plekken doet. En aangezien er altijd een bepaalde tolerantie voor fouten worden toegestaan (zoals hierboven ook bijna letterlijk wordt genoemd), wordt het ook voor een aanvaller mogelijk om dat af te kijken en vervolgens na te doen. En dan heb je natuurlijk nog de "screen loggers", die "key loggers" op de laptop/desktop vervangen.

En daarnaast, als het tekst-wachtwoord te gebruiken blijft, is het in feite gewoon een extra mogelijkheid om aan te vallen. Lukt het niet o.b.v. die foto, dan kun je altijd nog een dictionary attack proberen op het tekst-password. Kortom, het mogelijke aantal aanvalspogingen wordt verhoogd. In principe niet veiligheidsverhogend dus.

Ik begrijp wel dat je snellere en veiligere aanlog-technieken zoekt. Alles beter dan zo'n pincode op de smartphones natuurlijk, die je ook kunt afkijken, en waar je maar een heel beperkt aantal mogelijkheden hebt. En op zo'n tablet ga je niet allemaal moeilijke codes invoeren. Die maken dat het inloggen inderdaad te lang duurt, en dan gaan mensen het helemaal niet meer gebruiken (zoals ook op die smartphones). En ik ga er voor het gemak maar even vanuit dat er zometeen op tablets meer te halen valt voor aanvallers dan op een smartphone (hoewel daar veel op af te dingen valt natuurlijk).

Kortom, goed dat ze met nieuwe methodes bezig zijn, maar of dit nu al het antwoord is....
18-12-2011, 14:01 door Anoniem
De grap is dat de meeste mensen al met een 'veegpatroon' werken. Zowel bij pincodes als complexe wachtwoorden (iets als SeW12opF5xL) zal je zien dat de meeste mensen hun pincode of wachtwoord niet kunnen reproduceren zonder denkbeeldig het toetsenbord (of pincode numerieke pad) te gebruiken; ze onthouden het patroon van de volgorde van de toetsen. Bijna iedereen heeft al problemen met de pincode als het numerieke pad een andere indeling heeft.
18-12-2011, 14:20 door Anoniem
Ik vind deze wel leuk; "...Wordt het wachtwoord vijf keer verkeerd ingevoerd, dan moet de gebruiker eerst met zijn tekstwachtwoord inloggen...". Dus toch een tekstwachtwoord?!?

Maakt het dan uit of ik de foto en gestures weet?!? Ik doe maar wat, 5x en alles is weer het oude. Dit is nou weer typisch zo'n Microsoft verzinsel.
18-12-2011, 14:57 door Anoniem
Door Anoniem: Wat een onzin weer van MS.
"Bij een pincode zijn er voor de vier posities in totaal tienduizend mogelijkheden. Met een wachtwoord van acht karakters bestaande uit alleen kleine letters, zijn er 208 miljard mogelijkheden."

Bij mijn iPhone krijg je "slechts" 4 pogingen, waarna de telefoon geblokkeerd is of volledig geformateerd word wanneer ik dat instel.
Ik zie geen enkele GSM dief tienduizend x proberen om in te kunnen loggen op de telefoon, iedere GSM dief zal de telefoon gewoonweg terugzetten naar Fabrieksstandaard en gewoon voor zichzelf gebruiken of doorverkopen via Marktplaats.

"Na een aantal keren wisten gebruikers gemiddeld met de standaard beweging in vier seconden in te loggen, terwijl de "free form" versie gemiddeld zeventien seconden duurde."
17 seconden??? Echt MS weer, alsof 4 seconden zo revolutionair is, ik log met 2 seconden in en weet 100% zeker dat niemand mijn pincode zal raden, zelfs niet in die 10.000 pogingen die daarvoor nodig zijn.
Je zult ze de kost moeten geven die daarvoor gemakshalve hun postcode, geboortejaar of geboortedag+-maand gebruiken. Allemaal combinaties van 4 cijfers die makkelijk te onthouden zijn, omdat ze voor mensen een betekenis hebben. Maar vanwege die betekenis ook gemakkelijk te raden door derden.
18-12-2011, 15:22 door Anoniem
Alles is uiteindelijk te omzeilen of te kraken,ook foto's en bij behorende bewegingen.Hoeveel verschillende bewegingen kun je maken met je vingers? Een combi van gewoon password en iets als foto/vingerbeweging,irisscan of dna-id zal in de toekomst broodnodig blijken.
18-12-2011, 16:42 door Skizmo
Met de nieuwe functionaliteit wil de softwaregigant het eenvoudiger voor gebruikers van een touchscreen maken om in te loggen.
Leuk... maare.. een pc heeft geen touch screen. Heb sterk het idee dat W8 een gruwelijke flop gaat worden voor de pc.
18-12-2011, 17:02 door spatieman
beweeg uw neus correct.
hmm, zal lastig gaan als je verkouden bent / je neus door onval beschadigd is worden.
19-12-2011, 08:56 door Anoniem
Hmmm.. Ik ben hier geen voorstander van. Ik ken zat mensen die een foto van hun hond zouden gebruiken en dan moet je natuurlijk op de ogen klikken. Bovendien is het makkelijker meekijken naar een beweging op een foto dan dat het is om mee te kijken met iemand die een wachtwoord typt.
19-12-2011, 09:27 door Anoniem
Door Anoniem: Bij mijn iPhone krijg je "slechts" 4 pogingen, waarna de telefoon geblokkeerd is of volledig geformateerd word wanneer ik dat instel.

Voor deze lezer: Windows 8 is een OS, bedoeld voor PC's en tablets.
19-12-2011, 09:52 door Night
Zoals bij alles zal de mens uiteindelijk de zwakste schakel blijken.
Wie slordig is met security zal dat ook hiermee zijn. Uiteindelijk gaat het vooral om gemak van deze methode op touch screens.
21-12-2011, 13:12 door Anoniem
Hoe kan het toevoegen van een extra toegangsmogelijkheid zorgen voor meer veiligheid? Als het tekstwachtwoord blijft bestaan (en nog makkelijker te onthouden moet zijn omdat het zelden wordt gebruikt) dan kan de beveiliging toch nooit omhoog gaan of gelijk blijven.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.