Компания Microsoft предоставила новые сведения об улучшенном механизме для проверки личности пользователя в своей новой операционной системе Windows 8. В отличие от других решений с похожими принципами, где обычно надо проводить линии по сетке, "картиночные" пароли Windows 8 предусматривают тройную комбинацию из линий, отрывочных касаний и кругов - все эти действия нужно выполнять в определенных областях выбранной фотографии. По уверениям разработчиков, подобный подход оказывается лучше не только коротких PIN-кодов, но и безопасных паролей из числовых и алфавитных символов верхнего и нижнего регистра.
Как же работает механизм картиночных паролей в Windows 8, оптимизированных для будущих планшетов и обычных ПК с сенсорными экранами? Жесты (движения пальца по сенсорному экрану или движения мыши по столу) отслеживаются и накладываются на невидимую сетку, масштабируемую по размеру экрана. Сетка разбита на 100 квадратных элементов по длинной стороне, а количество ячеек по короткой стороне зависит от числа пикселей. Например, экран 1366x768 пикселей, где фотография занимает порядка 80% площади, делится на сетку 100x70 квадратных ячеек.
Во время входа в систему операционная система сравнивает расстояние между жестами, записанными во время создания "картиночного пароля", и расстояние между только что введенными жестами. Если уровень совпадения оказывается менее 90%, попытка входа будет считаться неудачной. Кроме того, попытка не засчитывается, если один из жестов нарисован неправильно - например, вместо кружка на нужном месте введена линия. При записи жестов на определенных участках фотографии система также фиксирует направление рисования и порядок ввода фигур (кружков, линий и точек).
Сколько же паролей можно задать из кружков, линий и точек? Простая математика показывает, что каждые три отрывочных нажатия дают 2 743 206 уникальных комбинаций, еще 4 509 567 комбинаций из трех кружков и 412 096 718 комбинаций из трех линий. В совокупности это дает 1 155 509 083 уникальных паролей. Для сравнения, ПИН-код из трех букв дает всего 1000 уникальных сочетаний, из трех латинских букв можно получить всего 17 546 паролей, а алфавитно-цифровой пароль из трех символов дает всего 81 120 уникальных комбинаций.
Единственная потенциальная уязвимость системы входа в систему на базе жестов заключается в возможности угадать пароль по отпечаткам пальца на экране. Если предположить наихудший сценарий, когда пользователь вводит пароль на идеально чистом экране, а затем оставляет устройство открытым для злоумышленника, все равно остается 48 возможных паролей. Даже в этом случае Windows 8 разрешит только 5 попыток угадать картиночный пароль, а потом заставит пользователя ввести обычный пароль для входа в Windows.
Еще одна очевидная уязвимость заключается в том, что "картиночный" пароль относительно легко подглядеть просто через плечо во время ввода. Учитывая, что такие пароли скорее всего будут построены на картинках с визуальными подсказками, пользователям следует быть начеку при использовании нового механизма входа в систему. Однако, как и для многих других новых функций в Windows 8, компания Microsoft предлагает возможность принудительного отключения "картиночного" входа на служебных машинах с помощью групповой политики.
Как бы то ни было, новаторское решение Microsoft для входа в систему с помощью легко запоминаемых нажатий на экран гораздо устойчивей к перехвату и взлому, чем простое проведение пальцем фотографиям.