image

Microsoft: Vies scherm risico voor foto-wachtwoord

dinsdag 20 december 2011, 09:48 door Redactie, 11 reacties

Het foto-wachtwoord zoals Microsoft dat aan Windows 8 toevoegt is lastig door een aanvaller te raden, maar dan moet het beeldscherm wel schoon zijn, zo waarschuwt de softwaregigant. Vegen en vette vlekken kunnen namelijk de bewegingen om het foto-wachtwoord te identificeren onthullen, laat Jeff Johnson weten, directeur van het User Experience team. Johnson geeft in een nieuwe blogposting over het foto-wachtwoord de wiskundige kans aan dat een aanvaller een foto-wachtwoord kan raden. In Windows 8 krijgt een gebruiker vijf pogingen om de juiste bewegingen op het scherm te tekenen, voordat er een tekstwachtwoord wordt gevraagd.

"Aangezien dit een nieuwe vorm van inloggen is en zorgen over de veiligheid alsmede nieuwe authenticatie technieken, is het geen verrassing dat naar kwetsbaarheden van deze aanpak wordt gekeken", zegt Steven Sinofsky van het Windows 8 team. "Ons doel was om een handig mechanisme te bieden dat niet minder veilig dan een tekstwachtwoord was."

Vegen en vlekken
Toch zijn er ook met een foto-wachtwoord 'spelregels' waar gebruikers zich aan moeten houden. Johnson adviseert een combinatie van verschillende bewegingen, en ook binnen de bewegingen variatie aan te brengen. Verder is het oppassen voor schouder-surfers die het foto-wachtwoord afkijken en moet de computer in een veilige plek worden bewaard waar anderen er geen fysieke toegang toe hebben.

Voor vlekken en vegen is er een speciale vermelding. "Wees ervan bewust dat vlekken op het scherm je bewegingen kunnen onthullen. Maak je scherm dan ook regelmatig schoon." Gebruikers moeten dan ook af en toe vanuit een andere hoek naar hun scherm kijken om te zien of er geen patroon van vegen is waar te nemen.

Om het risico van vlekken en vegen te verminderen heeft Microsoft nog nagedacht om de grootte en locatie van de afbeelding aan te passen, maar testers vonden dit niet gebruikersvriendelijk. Daarnaast zorgde het roteren van de afbeelding ervoor dat er op een specifieke plek een opbouw van vlekken was. "Met deze informatie zou een aanvaller eenvoudig de relatie tussen de bewegingen kunnen achterhalen", merkt Johnson op. Aangezien deze maatregel geen extra veiligheid bood, werd besloten die niet in te voeren.

Reacties (11)
20-12-2011, 10:49 door Anoniem
He he ,

Wat een slimmerikken zeg.
Ik dacht het al toen ik het las.
Misschien dat het mogelijk is om de gebruikte foto zo erg uit te vergroten dat de gebruiker de beweging op een specifieke pixel kan doen.
Laat "ze" dan maar eens uitzoeken welke beweging op welke pixel moet gebeuren.
20-12-2011, 11:02 door Anoniem
en moet de computer in een veilige plek worden bewaard waar anderen er geen fysieke toegang toe hebben.

Veel vertrouwen hebben ze in deze nieuwe crap.

Zie je het al voor je,
Heb je thuis voor de lol zo'n facial password ingesteld.
Zit je in de trein met je tong uit je bek schele ogen te trekken, omdat dat thuis zo grappig was.
20-12-2011, 11:23 door Job de Jong
Je kunt altijd een biljart-handschoentje aantrekken =)

Over het algemeen is een huis-tuin-keuken gebruiker met de naam van zijn hond als wachtwoord toch al kwetsbaar.
20-12-2011, 11:41 door Anoniem
En iedereen kan meekijken wat je met je muiscursor doet...Leuk voor meegluurders.
20-12-2011, 12:47 door Patio
Windows 8 komt zeker 1 april uit?
20-12-2011, 13:07 door Anoniem
"Verder is het oppassen voor schouder-surfers die het foto-wachtwoord afkijken en moet de computer in een veilige plek worden bewaard waar anderen er geen fysieke toegang toe hebben."

Wat heeft de vraag of anderen fysieke toegang hebben te maken met de vraag of je deze nieuwe password methode gebruikt ? Helemaal niets? ;)
20-12-2011, 13:29 door SLight
Door SLight: Ik ben benieuwd hoe groot de foutmarge is en zou dit zo ook te misbruiken zijn. Deze inlogoptie lijkt me niet veiliger dan een lang wachtwoord, omdat het meekijken met een foto alsnog makkelijker is dan het zien van een aantal zwarte stippen op het scherm. Van een wachtwoord dat iemand in tikt kan je zo'n 5 tekens onthouden en daarna al niet meer, maar bij een foto lijkt me dit makkelijker.

(...) Fysieke beveiliging naast een wachtwoord nog steeds een goede zaak.

Goh, wat heb ik zondag al geschreven ;)
https://secure.security.nl/artikel/39577/1/Microsoft_onthult_foto-wachtwoord_Windows_8.html
20-12-2011, 14:11 door Markcortbass
* Het foto-wachtwoord zoals Microsoft dat aan Windows 8 toevoegt is lastig door een aanvaller te raden, maar dan moet het beeldscherm wel schoon zijn, zo waarschuwt de softwaregigant


Moet het beeldscherm schoon zijn of de webcam?..
20-12-2011, 19:18 door SLight
Door Markcortbass: * Het foto-wachtwoord zoals Microsoft dat aan Windows 8 toevoegt is lastig door een aanvaller te raden, maar dan moet het beeldscherm wel schoon zijn, zo waarschuwt de softwaregigant


Moet het beeldscherm schoon zijn of de webcam?..

Beeldscherm, je krijgt een foto waarom je dan een paar punten en lijnen moet tekenen, dus werkt met touchscreen
20-12-2011, 19:58 door Markcortbass
Gaat de foto-wachtwoord dan ook ondersteund worden voor de webcam? Als een touchscreen vies wordt kan dit logischerwijs problemen geven. En wat als je een kras krijgt op je scherm?
21-12-2011, 11:58 door Mysterio
Er wordt niets gezegd over een vieze foto als beveiliging :D Zo van: "Breek in op deze computer en u krijgt nog meer te zien van dit!"
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.