Login-Gesten unter Windows 8 sind berechenbar
Drei US-Forscher haben die Login-Gesten von Windows-8-Benutzern analysiert. Es stellt sich heraus, das diese nicht so einzigartig sind, wie man denken wĂĽrde.
- Fabian A. Scherschel
Die Möglichkeit, sich auf einem Windows-8-Tablet durch das Malen von Mustern auf einem Foto anzumelden, ist eine interessante Variante der schon von anderen Betriebssystemen wie Android bekannten Gesten-Logins. Drei Forscher der Universitäten von Arizona und Delaware haben jetzt entdeckt, dass diese als "Picture Passwords" oder auch als Bildcodes bezeichnete Methode unter Umständen allerdings nicht wirklich so sicher ist, wie man es sich vielleicht wünscht. Es stellt sich heraus, dass viele Benutzer ganz ähnliche Muster wählen.
Die bestehen in aller Regel aus markanten Punkten wie Augen, Nasen oder anderen auffälligen Punkten im Bild. Die werden dann in der Regel als einzelne Punkte oder Endpunkte einer Linie verwendet. Für ihre Angriffe entwickelten die Forscher ein Programm, das diese Points of Interest lokalisiert und dann die damit möglichen Muster erzeugt. Im besten Fall erzielten sie damit immerhin eine Trefferquote von knapp 13 Prozent.
Für ihre Untersuchung bauten sie dafür das System "Picture Passwords" von Windows 8 nach, um es so ihren Versuchspersonen auch als Web-Applikation präsentieren zu können. Sie untersuchten also nicht das eigentliche Login-Verfahren von Windows 8. Das Programm zum Knacken der Bildpassworte kann für Offline-Angriffe gegen die als Hashes gespeicherten Foto-Passwörter verwendet werden oder auch als Online-Variante an einem Windows-8-Gerät. Der Offline-Angriff impliziert allerdings, dass der Angreifer diese Daten aus dem Windows-System auslesen kann.
Da Windows 8 nur fünf Eingaben zulässt, bevor es auf ein normales Text-Passwort zurückfällt, muss ein Online-Angriff in der Lage sein, die Geste innerhalb dieser fünf Versuche zu erkennen. Das gelang unter besten Voraussetzungen mit den Algorithmen der Forscher nur in maximal 13,5 Prozent der Fälle. Je nach Muster, Hintergrundfoto und Algorithmus kann die Erfolgsrate bis auf 0,4 Prozent zurückfallen. Im Experiment bauten die meisten Versuchspersonen, die ein Foto eines Gesichtes für ihr Login verwendeten, mindestens ein Auge in ihr Muster ein. Die Nase des Foto-Objekts war fast genauso beliebt. Auch wurden einfache Druckpunkte viel öfter verwendet als Linien und Kreis-Gesten fast gar nicht. Insgesamt untersuchten die Forscher die Login-Muster von über 800 Versuchspersonen. (fab)