Onderzoekers kraken fotowachtwoord Windows 8
De manier waarop Windows 8-gebruikers via een aantal vingerbewegingen op een foto kunnen inloggen is niet helemaal waterdicht, zo hebben verschillende onderzoekers gedemonstreerd. Microsoft biedt in Windows 8 de mogelijkheid om het traditionele wachtwoord te vervangen door een afbeelding, waar de gebruiker een aantal acties op moet verrichten, zoals het tekenen van een rondje of een streep.
De softwaregigant omschrijft het "picture password" als een nieuwe manier om touchscreen computers te beschermen. Onderzoekers Ziming Zhao, Gail-Joon Ahn, Jeong-Jin Seo en Hongxin Hu van de Arizona State University, GFS Technology en Delaware State University lieten onlangs tijdens het USENIX Security Symposium in Washington zien dat ook fotowachtwoorden te kraken zijn.
Raamwerk
In totaal werden 10.000 fotowachtwoorden van meer dan 800 verschillende mensen verzameld en geanalyseerd. Aan de hand hiervan werd een geheel nieuw aanvalsraamwerk ontwikkeld om onbekende fotowachtwoorden toch te kunnen kraken. Volgens de onderzoekers zijn ze met dit raamwerk in staat om een groot aantal fotowachtwoorden te achterhalen. Bij één dataset werd 48,8% van de onbekende foto's gekraakt, terwijl dit bij de tweede dataset 24% was.
Het gaat hier echter wel om 524.288 pogingen waar er 1.073.741.824 mogelijk waren. Windows 8 kent echter een limiet van vijf inlogpogingen. Dan blijkt dat in de ene dataset 216 van de 10.000 wachtwoorden worden geraden en in de andere dataset 94 van de 10.000 wachtwoorden.
De kans op succes zou wel door middel van aanvullende trainingsgegevens zijn te verbeteren. Wordt er een puur geautomatiseerde aanval zonder aanvullende informatie gebruikt, dan weten de onderzoekers 0,9% van de wachtwoorden in de eerste vijf pogingen te kraken.
Variatie
Het probleem met de fotowachtwoorden is dat gebruikers er niet in slagen om willekeurige punten in hun afbeeldingen te kiezen. In veel gevallen kiezen ze voor duidelijk aanwezige punten, zoals de ogen, gezichten of andere aanwezige voorwerpen. Daardoor zijn de afgeleide wachtwoorden minder gevarieerd dan bij willekeurig gegenereerde wachtwoorden het geval zou zijn, wat het kraken vereenvoudigt.
"Uit onze resultaten blijkt dat de voorgestelde aanpak een aanzienlijk deel van de verzamelde fotowachtwoorden onder verschillende omstandigheden kan kraken", zo concluderen de onderzoekers. Naast de slides van de presentatie en het onderzoek zelf, is ook een video van de presentatie online verschenen, alsmede de audio hiervan.
Het is alleen een gadget om te demonstreren in de winkel en te noemen in recensies, hier echt iets mee doen
dat doet natuurlijk niemand.
Het is net als die unlock tekening in Android, die zie je meestal precies als een vet-spoor op het scherm. Een kind
kan raden dat dat niet veilig is.
dat doet natuurlijk niemand.
Juist omdat het in de winkel wordt gedemonstreerd zullen zeer veel mensen het gaan gebruiken. Ze worden misleid en niemand die ze dat kan vertellen.
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.