Компания Microsoft предоставила
новые сведения об улучшенном механизме для проверки личности пользователя в
своей новой операционной системе Windows 8. В отличие
от других решений с похожими принципами, где обычно надо проводить линии по
сетке, «картиночные» пароли Windows 8 предусматривают
тройную комбинацию из линий, отрывочных касаний и кругов – все эти действия
нужно выполнять в определенных областях выбранной фотографии. По уверениям
разработчиков, подобный подход оказывается лучше не только коротких PIN-кодов, но и безопасных паролей из числовых и алфавитных
символов верхнего и нижнего регистра.
Как же работает механизм картиночных паролей в Windows 8, оптимизированных для будущих планшетов и обычных
ПК с сенсорными экранами? Жесты (движения пальца по сенсорному экрану или
движения мыши по столу) отслеживаются и накладываются на невидимую сетку,
масштабируемую по размеру экрана. Сетка разбита на 100 квадратных элементов по
длинной стороне, а количество ячеек по короткой стороне зависит от числа
пикселей. Например, экран 1366x768 пикселей, где фотография занимает порядка
80% площади, делится на сетку 100x70 квадратных ячеек.
Во время входа в систему операционная система сравнивает
расстояние между жестами, записанными во время создания «картиночного пароля»,
и расстояние между только что введенными жестами. Если уровень совпадения
оказывается менее 90%, попытка входа будет считаться неудачной. Кроме того,
попытка не засчитывается, если один из жестов нарисован неправильно – например,
вместо кружка на нужном месте введена линия. При записи жестов на определенных
участках фотографии система также фиксирует направление рисования и порядок
ввода фигур (кружков, линий и точек).
Сколько же паролей можно задать из кружков, линий и точек?
Простая математика показывает, что каждые три отрывочных нажатия дают 2 743 206
уникальных комбинаций, еще 4 509 567 комбинаций из трех кружков и 412 096 718
комбинаций из трех линий. В совокупности это дает 1 155 509 083 уникальных
паролей. Для сравнения, ПИН-код из трех букв дает всего 1000 уникальных
сочетаний, из трех латинских букв можно получить всего 17 546 паролей, а
алфавитно-цифровой пароль из трех символов дает всего 81 120 уникальных
комбинаций.
Единственная потенциальная уязвимость системы входа в
систему на базе жестов заключается в возможности угадать пароль по отпечаткам
пальца на экране. Если предположить наихудший сценарий, когда пользователь
вводит пароль на идеально чистом экране, а затем оставляет устройство открытым
для злоумышленника, все равно остается 48 возможных паролей. Даже в этом случае
Windows 8 разрешит только 5 попыток угадать картиночный пароль, а потом
заставит пользователя ввести обычный пароль для входа в Windows.
Еще одна очевидная уязвимость заключается в том, что
«картиночный» пароль относительно легко подглядеть просто через плечо во время
ввода. Учитывая, что такие пароли скорее всего будут построены на картинках с
визуальными подсказками, пользователям следует быть начеку при использовании
нового механизма входа в систему. Однако, как и для многих других
новых функций в Windows 8, компания Microsoft предлагает возможность принудительного отключения
«картиночного» входа на служебных машинах с помощью групповой политики.
Как бы то ни было, новаторское решение Microsoft для входа в
систему с помощью легко запоминаемых нажатий на экран гораздо устойчивей к
перехвату и взлому, чем простое проведение пальцем по фотографиям.
По материалам сайтов Mashable и Neowin.Net.
|
