Obrázkové heslá použité vo Windows 8 majú relatívne nízku bezpečnosť a veľkú časť z hesiel volených bežnými užívateľmi je možné automaticky uhádnuť na relatívne nízky počet pokusov.
Zistili to výskumníci z Arizonskej a Delawarskej univerzity, ktorí výsledky svojho výskumu publikovali na konferencii Usenix Security Symposium.
Windows 8 podporuje ako alternatívny spôsob prihlasovania zadanie troch dotykových gest na užívateľom zvolenom obrázku. Užívateľ si za každé gesto môže vybrať bod v ľubovoľnom mieste obrázku, úsečku spájajúcu dva body alebo kružnicu.
Vzhľadom na použitú toleranciu presnosti má celý teoretický priestor hesiel podľa skorších zistení 2 ^ 30.1 respektíve 1.15 miliardy jedinečných hesiel.
Ľudia si ale pre ľahšie zapamätanie samozrejme vyberajú na obrázkoch význačné body a reálna bezpečnosť je predpokladane nižšia. Výskumníci z Arizonskej a Delawarskej univerzity tak analyzovali vzorku hesiel volených bežnými užívateľmi a vytvorili algoritmus, ktorý sa trénuje na existujúcej sade hesiel zvolených bežnými užívateľmi a následne na nových obrázkoch hľadá význačné body a háda pravdepodobné obrázkové heslá.
Pre dve použité trénovacie sady následne výskumníci na najviac 2 ^ 19, cca 524 tisíc, pokusov uhádli až 48.8% respektíve 24% hesiel.
Ukážky obrázkových hesiel v propagačnom videu (video: Microsoft)
Bezpečnosť súčasnej podoby prihlasovania do Windows 8 je tým ohrozená ale len do obmedzenej miery. Microsoft totiž limituje maximálny počet chybných prihlásení obrázkovým heslom na päť, následne už vyžaduje prihlásenie klasickým heslom.
Do päť pokusov algoritmus dokázal uhádnuť pri plne automatickom fungovaní 0.9% hesiel. Ak algoritmu vo fáze zisťovania zaujímavých bodov pomohli výskumníci a identifikovali všetky potenciálne zaujímavé body na obrázku, úspešný bol pri prelomení 2.6% hesiel na maximálne piaty pokus.
Výskumnníci bližšie neanalyzovali, v akom formáte Windows 8 ukladá informácie o obrázkových heslách a ako by bolo potrebné realizovať útok pri získaní prístupu k obsahu disku a predpokladane jednosmerne hashovanej podobe hesiel.
Keďže v možnostiach súčasného hardvéru je ale aj útok hrubou silou prehľadávajúci celý priestor 1.15 miliardy možných rozličných hesiel, relatívne slabá bezpečnosť obrázkových hesiel vo Windows 8 ani v prípade možnosti uskutočniť ľubovoľný počet pokusov neprináša principiálne nový spôsob útoku, iba útok o viac ako tri rády urýchľuje.
| |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
hmmmmm
Od: mr.Proper
|
Pridané:
9.9.2013 13:16
Jednofarebny obrazok a vyriesene
|
| |
Re: hmmmmm
Od reg.: 100k45h
|
Pridané:
9.9.2013 14:23
a ako potom ako user budes vediet, ktore body mas prepojit? :-D budes len tusit
|
| |
heslo
Od: Bukvičák
|
Pridané:
9.9.2013 13:16
Nemyslím, že MS s tými obrázkovými heslami chcel docieliť nejaké vysoké percento zabezpečenia. Ide skôr o nejaké zabránenie vstupu pred ostatnými členmi domácnosti alebo nejaký podobný účel... Citlivé dáta by predsa nikto nechránil obrázkovým heslom...
|
| |
Re: heslo
Od: Nertez
|
Pridané:
9.9.2013 14:39
Presne tak, ja tiez pouzivam na Androide pattern (lebo neznasam dobanie pin kodov) a tiez od toho necakam nejaku ultra ochranu. A toto je take viac user/family friendly ako pattern. Takze preco nie, podla mna dobry napad.
|
| |
Re: heslo
Od: ...
|
Pridané:
9.9.2013 21:02
Mna serie, ze niekedy nie je schopny zdvihnut hovor a nieto aby som po nom smuhoval na obycajne odblokovanie ...
|
| |
bezpecnost
Od: trabliak
|
Pridané:
9.9.2013 13:21
nuz, tento sposob prihlasovania do woken, som pochopil len ako moznost rychleho sa prihlasenia, pripadne na zabranenie kamaratovi, alebo kolegovy z prace aby mi tam necumel, ze co si pozeram, jake porno a tak... tento sposob prihlasovania si teda urcite nezvoli ten, kto to s bezpecnostou mysli vazne....
|
| |
Re: bezpecnost
Od: ASD_
|
Pridané:
10.9.2013 8:30
To bolo snad jasne od zaciatku. Toto je prihlasovanie pre ludi co do terez nemali ziadne heslo, alebo tak nanajsvis lahke slovnikove heslo.
|
| |
O com???
Od: W8 Pro
|
Pridané:
9.9.2013 13:30
Pri obrazkovych heslach nikdy nebude taka bezpecnost ako pri znakovych, to je snad kazdemu jasne a plati to pre kazdy system. Pattern v androide som dal dole uz viackrat, ludia zvyknu pouzivat len niekolko tahov, okrem toho v androide sa da pattern jednoducho obist (navody na nete), pri W8 to obrazkove heslo za predpokladu blokovania bootu z inych zariadeni je nemozne obist (jedine vybranim disku a pouzitim v inom PC).
|
| |
Re: O com???
Od: vzduchovka
|
Pridané:
9.9.2013 13:40
V Androide sa dá pattern obísť len ak je zapnutý USB debug mode. Je tak?
|
| |
Re: O com???
Od: Sloniiik
|
Pridané:
9.9.2013 13:47
Zamasteny displej hovori o inom...
|
| |
Re: O com???
Od: W8 Pro
|
Pridané:
9.9.2013 13:54
Aj.. Ale da sa to aj inak a nepotrebujes k tomu nic. Uplne najjednoduchsie je ak su nadefinovane aj ICE kontakty, ktore vies aj bez zadania patternu vytocit a stlacit home a mas to.
|
| |
Re: O com???
Od: lto
|
Pridané:
9.9.2013 15:06
staci posypat display mukou :)
|
| |
Re: O com???
Od: el nino
|
Pridané:
9.9.2013 22:21
a to pomáha??!
|
| |
Výsledok NSA a MS...
Od: Ramtech
|
Pridané:
9.9.2013 13:46
Asi sa do toho NSA vložila a preto tam spravili také chabé zabezpečenie i keď teraz to výzkumníci objavili a MS tento "bug" už musí opraviť
|
| |
Re: Výsledok NSA a MS...
Od: W8 Pro
|
Pridané:
9.9.2013 13:51
Ten kto chce bezpecnost nebude pouzivat obrazkove hesla a ak uz tak nie take, ze si tahy zvoli na zaklade vyraznych miest na obrazku. Nechces to hodit na NSA, ze si ludia vyberu tahy z vyraznych miest?:DDD
|
| |
omyl je to
Od: vlado.
|
Pridané:
9.9.2013 14:32
Vyzeralo to byt celkom zaujimave vylepsenie, sam som to pouzival az do doby, kym som zistil ze to je omyl. Bola u mna navsteva a ja som chcel zadat obrazkove heslo, ale co z toho, ak kamarat pozeral na monitor a tam kde sa klikne mysou, tam sa ukaze taky kruzok, takze kto je blizko vidi heslo.
|
| |
Re: omyl je to
Od: Lenovo@
|
Pridané:
9.9.2013 14:54
No ale ty si mozes hocikedy prepnut aj na textove heslo...
|
| |
Re: omyl je to
Od: Irma Weissbaumová
|
Pridané:
9.9.2013 15:06
neni mozne! ak sa raz zada obrazkove heslo a sa nepodari tak nastane blu desktop deat a musi sa pouzit opravne cd linux aby sa pouzivatel dostal do systemu os vindows 8.1. je to nedoriesene a odporucam nepouzivat v ziadnom pripade lebo sa bude musiet preinstalovat cely os system operacny program.
|
| |
Re: omyl je to
Od: -...-
|
Pridané:
9.9.2013 16:59
Tie drogy na Slovensku su kazdym rokom lepsie
|
| |
Re: omyl je to
Od: kuboooo
|
Pridané:
9.9.2013 19:13
Presne tak, cely operacny program doprava.
|
| |
to je jasne
Od reg.: Pjetro de
|
Pridané:
9.9.2013 15:03
A to sa dalo cakat. Akonahle je nieco zalozene na kusku poriadku a usporiadanosti (nejaky cacany obrazok), tak sa pocet moznosti exponencialne znizuje z triliard/kvadriliard (ci este ovela viacej) na miliardy. Samoizrejme tu ale ide aj o ludsky faktor a o kompromis medzi bezpecnostou hesla a jeho zapamatatelnostou, pretoze 20 znakove alfanumericke heslo si nezapamata a nepouziva takmer nikto - hoci je neslusne bezpecne.
|
| |
Patent war
Od: ss2
|
Pridané:
9.9.2013 15:39
obrazkove hesla len nahradzuju androidom patentovane lockovanie cez tie bodky co sa spajaju.
|
| |
Načo mi je kvalitne heslo
Od: Johan754
|
Pridané:
9.9.2013 15:41
Ja mám tri bodky uplne vpravo dole a nevadi mi to :D
|
| |
Re: Načo mi je kvalitne heslo
Od reg.: Gyrxiur
|
Pridané:
9.9.2013 17:19
A ja mám brutálny cik-cak cez všetky bodky. Konkrétne 7 zmien smeru a to je 9 bodiek ;c)
|
| |
Re: Načo mi je kvalitne heslo
Od: Sloniiik
|
Pridané:
9.9.2013 18:19
Inak stacia aj 4 tahy. :P
|
| |
Ja som strikne proti!
Od: Irma Weissbaumová
|
Pridané:
9.9.2013 18:34
bazirujem na mojom tvrdeni ze ked sa priamky zle prepoja nastane bsdo a trebalo by operacny program dolovat pomocou zivej distribucie operacneho programu linux ubunt kubunt. su take cd a tam sa da potom vymazat heslo a dat body obnovovania a pripadne defragmentovat operacny program co mnohdy pomoze.
|
| |
Re: Ja som strikne proti!
Od: odpalovač
|
Pridané:
9.9.2013 20:07
dávam prednosť operačnému kladivu
|
| |
Bulvarny nadpis
Od: milan.ko
|
Pridané:
9.9.2013 19:25
V skutocnosti demonstrovali presne to, co je napisane v jednej vete v clanku - ze ludia si vyber obrazkoveho hesla zjednodusuju hladanim vyznamnych bodov. Je to to iste, ako zvolit si lahko uhadnutelne textove heslo. Na vine slabej bezpecnosti takeho hesla potom nie je metoda prihlasovania ale pouzivatel.
|
| |
´tešíme sa a ktovie, či sa toho dožijeme
Od: Kežmarok da best
|
Pridané:
9.9.2013 20:19
jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať! jebať!
|
| |
Re: ´tešíme sa a ktovie, či sa toho dožijeme
Od: pynokyo
|
Pridané:
9.9.2013 20:31
a nicoho sa nebat!
|
| |
Re: ´tešíme sa a ktovie, či sa toho dožijeme
Od: IDE
|
Pridané:
9.9.2013 22:29
to vravel aj nejaký Palo Lojan, akorát to bolo po vyhodňarski
|
neprihlásený 
