Je obrázkové heslo ve Windows 8 bezpečné?
Do Windows 8 se můžete přihlásit pouhým dotykem obrazovky vašeho zařízení, resp. pomocí třech jednoduchých gest.
Takové gesto můžete provést pouhým dotykem, prostým tažením prstu z jednoho místa do druhého nebo jednoduchým obkroužením nějakého objektu na obrazovce. Windows v takovém případě vyhodnocuje, zda daná gesta byla načrtnuta na správném místě, ve správném pořadí a zda pohyb prstu byl veden správným směrem. K dispozici máte 5 pokusů, a pokud ani na pátý nezadáte obrázkové heslo správně, budete vyzván k zadání klasického textového hesla.
Pokud se rozhodnete přihlašovat se do svého tabletu s Windows 8 místo klasickým heslem tímto způsobem, musíte si nejprve zvolit obrázek, který bude umístěn na pozadí, ten bude sloužit čistě jen k tomu, abyste svá gesta pokaždé nakreslil přibližně na tom samém místě. Předpokládá se totiž, že si na obrázku vyberete určité oblasti tzv. body zájmu (point of interest), kterých se budete dotýkat. Kvůli použitému obrázku nazval Microsoft tento způsob autentizace (bohužel trochu nešťastně) jako obrázkové heslo (picture password). Postup, jak obrázkové heslo ve vašem systému aktivovat, je popsán zde.
Vzhledem k tomu, že člověk, který se tímto způsobem přihlašuje, není schopen svá gesta úplně přesně zopakovat (rozuměj, jeho prst neprojde pokaždé těmi úplně stejnými body), je nutné počítat s určitou tolerancí, která vychází z rozlišení displeje a průměrné velikosti plošky bříška prstu, kterým se uživatel dotykového displeje dotýká. U bodu je zaznamenána souřadnice x, y, u úsečky pak x1, y1 a x2,y2 a konečně u kruhu pak umístění středu kružnice na souřadnicích x, y, poloměr r a směr. Gesta, která můžete pro přihlášení použít, jsou uvedena zde.
Algoritmus, který jednotlivá gesta vyhodnocuje, je v zásadě velice jednoduchý. V podstatě porovnává vzdálenost mezi aktuálním místem dotyku, a místem, které bylo stisknuto v době vytvoření daného gesta a počítá skóre, které může nabývat hodnoty 0% -100%, kde 0% znamená, že gesto uloženému vzoru vůbec neodpovídá a skóre 100% pak značí absolutní shodu. Pro skóre větší nebo rovno 90% se považuje zadané gesto za shodné, neboť prošlo přibližně stejnými obrazovkovými body.
Gestem může bod, úsečka nebo kružnice. Jestli jako své obrázkové heslo použijete tři body, tři kružnice, tři úsečky, nebo tato tři gesta libovolně zkombinujete, je zcela na vás. Pro úspěšné přihlášení je však musíte zopakovat nejen ve správném pořadí a na správném místě, ale prstem musíte pohybovat i ve správném směru.
Výhody a nevýhody obrázkového hesla
Jasnými výhodami tohoto způsobu autentizace je snadnost zapamatování takového hesla, a rychlost jakým ho lze zadat, což by mělo při dodržení určitých zásad poskytnout i docela slušnou úroveň zabezpečení, ovšem nepředbíhejme. Dále lze očekávat, že obrázkové heslo nebude tak často sdíleno jako klasické heslo. Ovšem to je otázka stejně jako, jak často si budou uživatelé obrázková hesla měnit a nakolik se budou další hesla od toho prvního lišit. Uživatel může mít totiž podobně jako v případě klasického hesla tendenci stejná gesta opakovat i na novém obrázku.
To, že máte možnost si vybrat nějaký obrázek z vašeho portfolia, který bude při kreslení gest zobrazen na displeji vašeho zařízení, sice na jednu stranu zvyšuje šanci, že se vám podaří si dané heslo snadno zapamatovat, ale na druhou stranu roste i pravděpodobnost, že si vyberete obrázek, na kterém bude nedostatečný počet bodů zájmu, které de facto určují, podobu obrázkového hesla. Rozuměj, uživatel může např. kreslit kruh jen tam, kde něco je, těžko ho bude kreslit kdesi uprostřed blankytně modré oblohy, to by ho pak nebyl schopen zopakovat.
Doporučení: Pro obrázkové heslo si zvolte takový obrázek, na kterém se bude nacházet více bodů zájmu.
Smudge attack
Na autentizaci pomocí obrázkového hesla je možné vést šmouhový útok, o kterém jsme psali už dávno v souvislosti s přihlašováním do zařízení s operačním systémem Android. Úspěšnost takového útoku je víceméně stejná, tedy pokud budeme předpokládat, že šmouhy, představující jednotlivá gesta, jsou zřetelně viditelné. Rozdíl je jen v tom, že i když bude útočník přesně znát ona tři gesta, musí je ještě zopakovat ve správném pořadí a jednotlivé tahy musí být provedeny i ve správném směru.
To sice na první pohled představuje překážku, když si ale uvědomíme, že útočník na to bude mít minimálně pět pokusů a většina lidí postupuje zleva doprava a shora dolů, a pokud má nakreslit čáru nebo kruh, tak ho nakreslí i ve stejném směru, je vysoce pravděpodobné, že útočník gesta správně zopakuje, vždyť v naprosté většině případů se jedná jen o 6 možností.
Doporučení: Utírejte displej svého zařízení, pokud ho necháváte někde delší dobu bez dozoru.
Shoulder surfing
Podobně jako je tomu u klasických hesel, je možno i zde zadávané obrázkové heslo snadno odpozorovat a to i na větší vzdálenost. Nejen že je možné na větší ploše displeje sledovat a nahrát pohyb prstu uživatele po obrazovce, ale je možno zaznamenat i zpětnou vazbu, kterou systém uživateli poskytuje, podobně jako v případě virtuálních klávesnic, které podbarvují stisknuté klávesy.
Doporučení: Při přihlašování dávejte pozor, zda vás někdo nepozoruje.
Screen grabber
Do budoucna je třeba počítat i s tím, že i pro Windows 8 by se mohl objevit malware, který by prováděl v pravidelných intervalech snímání obrazovky nebo nahrával, jakých míst na dotykovém displeji se uživatel dotkl.
Doporučení: Instalujete jen software, který opravdu potřebujete a pouze z důvěryhodného zdroje.
Brute force attack
Je třeba si uvědomit, že i obrázkové heslo je v zařízení uloženo, protože jinak by nemohlo dojít k jeho ověření. A na takové heslo lze vést snadno útok hrubou silou, při kterém bude útočník zkoušet všechny možnosti. Alfou a omegou je proto použití vhodného pozadí s dostatečným počtem bodů zájmu. Z vyjádření Microsoftu vyplývá, že na běžné fotografii jich je kolem 10. To sice není mnoho, ale útočník nikdy přesně neví, které body si uživatel zvolil a jaké gesto, zda tečku, čáru nebo kružnici v daném místě nakreslil a v jakém pořadí.
Vezmeme-li obrázek, který je zobrazen na displeji o rozměrech 1366×768 pixelů, tak ten dle zveřejněných informací zabírá jen 80% této plochy, neboť zbývající část plochy obsahuje návod jak se autentizovat. Obrázek je následně rozdělen na matici o rozměru 100 x 70. Budeme-li uvažovat mřížku o rozměrech 100×70, tak potom bychom měli k dispozici 7000 bodů zájmu, nicméně na běžné fotografii jich je dle Microsoftu povětšinou jen 10. Podstatně se tak liší i bezpečnost, kterou tato autentizační metoda poskytuje. Je rozdíl, zda máme k dispozici 7000 bodů zájmu nebo jen 10.
Jak již bylo uvedeno výše, gestem může být bod, čára nebo kružnice. Přičemž čára mezi body A a B může být nakreslena jen dvěma způsoby. Můžeme prstem táhnout buď z bodu A do bodu B nebo z bodu B do bodu A. Podobně je tomu i u kružnic, která může být kolem bodu zájmu nakreslena buď po směru, nebo proti směru hodinových ručiček.
Jestliže se tedy na obrázku nachází 10 bodů zájmu a my se můžeme dotknout kteréhokoliv bodu, tak může být provedeno 10 různých doteků, 20 různých kružnic (kolem každého bodu zájmu a to po směru a proti směru hodinových ručiček) a 90 různých čar (počítáme jako variace 2. třídy z 10 prvků bez opakování) což přestavuje celkem 120 různých gest.
Máme-li udělat na obrázku 3 libovolná gesta, znamená to, že se v podstatě jedná o ekvivalent hesla o 3 znacích z množiny 120 znaků. Celkový počet možností je tedy 128^3 (počítáme jako variace 3. třídy ze 128 prvků s opakováním), což nám dává nějaké 2.097.152 možnosti, tedy přibližně jednou tolik než kolik nabízí Pattern Lock u systému Google Android.
Jistě by se dal napsat program, který by na základě určení bodů zájmu prověřil všechny možnosti a zobrazil uživatelem použité heslo, nicméně není to nutné, neboť v systému je uloženo textové heslo, takže stačí lámat to.
Doporučení: Pro své gesto určitě používejte čáry, ty dávají největší počet možností.
ČERMÁK, Miroslav, 2012. Je obrázkové heslo ve Windows 8 bezpečné?. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/je-obrazkove-heslo-ve-windows-8-bezpecne/. [citováno 08.12.2024].
Štítky: autentizace
K článku “Je obrázkové heslo ve Windows 8 bezpečné?” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.