Het foto-wachtwoord in Windows 8 is leuk om mee te spelen, maar biedt geen serieuze bescherming, aldus de uitvinder van RSA's SecurID token. "Het is schattig", aldus Kenneth Weiss. "Maar het is geen serieuze security." Via de functie kunnen gebruikers inloggen door op een foto een aantal bewegingen te maken, zoals een streep, cirkel of 'tap'. Het grootste nadeel van het foto-wachtwoord, is dat de bewegingen eenvoudig op afstand zijn op te nemen, stelt Weiss.

Bij traditionele wachtwoorden is dit probleem ondervangen door rondjes op de plaats van het wachtwoord te tonen. Daardoor is het wachtwoord niet van het scherm af te lezen. Bij Windows 8 moet er na vijf verkeerde bewegingen met een tekstwachtwoord worden ingelogd. Volgens Weiss is dit mogelijk een oplossing van Microsoft om schouder-surfers de pas af te snijden.

Fisher-Price
Een ander probleem is het opslaan van de bewegingen, bijvoorbeeld als geheugensteun of voor iemand anders. "Het beschrijven van de volgorde is mogelijk, maar is wel veel werk", aldus de authenticatie-expert, die zich tegenwoordig met 3-factor authenticatie bezighoudt. "Het is meer een Fisher-Price speeltje dan een serieuze optie om veilig in te loggen."

Toch is het volgens Weiss beter dan niets en kan het helpen om het bewustzijn over authenticatie te verhogen. Microsoft waarschuwde begin deze week dat vieze schermen een risico voor het foto-wachtwoord zijn, maar dat het statisch gezien veel veiliger dan een tekstwachtwoord is.