image

Onderzoekers kraken fotowachtwoord Windows 8

vrijdag 30 augustus 2013, 17:42 door Redactie, 2 reacties

De manier waarop Windows 8-gebruikers via een aantal vingerbewegingen op een foto kunnen inloggen is niet helemaal waterdicht, zo hebben verschillende onderzoekers gedemonstreerd. Microsoft biedt in Windows 8 de mogelijkheid om het traditionele wachtwoord te vervangen door een afbeelding, waar de gebruiker een aantal acties op moet verrichten, zoals het tekenen van een rondje of een streep.

De softwaregigant omschrijft het "picture password" als een nieuwe manier om touchscreen computers te beschermen. Onderzoekers Ziming Zhao, Gail-Joon Ahn, Jeong-Jin Seo en Hongxin Hu van de Arizona State University, GFS Technology en Delaware State University lieten onlangs tijdens het USENIX Security Symposium in Washington zien dat ook fotowachtwoorden te kraken zijn.

Raamwerk

In totaal werden 10.000 fotowachtwoorden van meer dan 800 verschillende mensen verzameld en geanalyseerd. Aan de hand hiervan werd een geheel nieuw aanvalsraamwerk ontwikkeld om onbekende fotowachtwoorden toch te kunnen kraken. Volgens de onderzoekers zijn ze met dit raamwerk in staat om een groot aantal fotowachtwoorden te achterhalen. Bij één dataset werd 48,8% van de onbekende foto's gekraakt, terwijl dit bij de tweede dataset 24% was.

Het gaat hier echter wel om 524.288 pogingen waar er 1.073.741.824 mogelijk waren. Windows 8 kent echter een limiet van vijf inlogpogingen. Dan blijkt dat in de ene dataset 216 van de 10.000 wachtwoorden worden geraden en in de andere dataset 94 van de 10.000 wachtwoorden.

De kans op succes zou wel door middel van aanvullende trainingsgegevens zijn te verbeteren. Wordt er een puur geautomatiseerde aanval zonder aanvullende informatie gebruikt, dan weten de onderzoekers 0,9% van de wachtwoorden in de eerste vijf pogingen te kraken.

Variatie

Het probleem met de fotowachtwoorden is dat gebruikers er niet in slagen om willekeurige punten in hun afbeeldingen te kiezen. In veel gevallen kiezen ze voor duidelijk aanwezige punten, zoals de ogen, gezichten of andere aanwezige voorwerpen. Daardoor zijn de afgeleide wachtwoorden minder gevarieerd dan bij willekeurig gegenereerde wachtwoorden het geval zou zijn, wat het kraken vereenvoudigt.

"Uit onze resultaten blijkt dat de voorgestelde aanpak een aanzienlijk deel van de verzamelde fotowachtwoorden onder verschillende omstandigheden kan kraken", zo concluderen de onderzoekers. Naast de slides van de presentatie en het onderzoek zelf, is ook een video van de presentatie online verschenen, alsmede de audio hiervan.

Image

Reacties (2)
30-08-2013, 21:51 door Anoniem
Er is toch niemand die dit verbaast, hoop ik?
Het is alleen een gadget om te demonstreren in de winkel en te noemen in recensies, hier echt iets mee doen
dat doet natuurlijk niemand.
Het is net als die unlock tekening in Android, die zie je meestal precies als een vet-spoor op het scherm. Een kind
kan raden dat dat niet veilig is.
01-09-2013, 14:29 door Anoniem
Door Anoniem:Het is alleen een gadget om te demonstreren in de winkel en te noemen in recensies, hier echt iets mee doen
dat doet natuurlijk niemand.

Juist omdat het in de winkel wordt gedemonstreerd zullen zeer veel mensen het gaan gebruiken. Ze worden misleid en niemand die ze dat kan vertellen.

Peter
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.