web-dev-qa-db-ja.com

Windows 8のPicture Passwordログインはどの程度安全ですか?

Windows 8の最終ビルドが製造にリリースされました。 Windows 8の新機能の1つは "Picture Password"で、エンドユーザーがロック画面の特定のパターンをクリックしてWindowsにログオンします(この機能に不慣れな読者のために、 この4分のビデオで説明しています 。)

  • 純粋なセキュリティの観点から、ピクチャーパスワードスキームと従来のパスワードエントリーのメリットとデメリットは何ですか?

  • 画像のパスワードの「クリック」、「円」、「線」がパスワードの長さにどのように対応するか、つまり画像のパスワードジェスチャーがおおよそ何ビットのエントロピーを提供するかについて、おおよその概算はありますか?

passwordsauthenticationwindowswindows-8
22
Jesper M

潜在的な弱点:予測可能なパスワード。主な弱点は、ユーザーが推測または予測可能な「画像パスワード」を選択することであると考えられます。ユーザーが予測可能な場所/ジェスチャーのセットを選択した場合、誰かが「画像のパスワード」を推測できる可能性があります。

Microsoftによる独自の設計の評価については、 Windows Picture Passwordのセキュリティに関するこのMicrosoftブログの投稿 を参照してください。それらは、画像のパスワードの強度を推定し、それらが提供するエントロピーのビット数を推定するためのいくつかの簡単な計算を提供します。ただし、セキュリティの分析は過度に楽観的であると私は思います。

  • まず、画像のすべての場所がユーザーによって等しく選択される可能性が高いと想定しています。これは非現実的だと思います。どの写真でも、他の場所よりも選ばれる可能性が高い場所があると思います。どの場所が選ばれる可能性が高いかは予測できます。青空の広い真ん中のランダムな場所ではなく、誰かが写真でいくつかのユニークな特徴を選択する可能性が高くなります。たとえば、共有したビデオで、ユーザーが画像のウィンドウの場所をタップすることを選択しました。

  • 第2に、ユーザーの3つのジェスチャーの場所はすべて独立して選択されると想定しています。実際には、これは現実的ではないと思います。私はしばしばいくつかのパターンがあると思います。たとえば、共有したビデオで、ユーザーは3つのウィンドウを順番にタップすることを選択しました。最初のタップ位置がウィンドウの上にあると推測した場合、次の2つが他のウィンドウにもあると推測するのは自然なことです。

  • 3番目に、ユーザーはタップ、円、線の組み合わせを使用すると想定しています。 (ジェスチャーには3種類あります。特定の場所をタップするか、特定の場所をある半径で円で囲むか、指を1つの場所から別の場所に一直線にドラッグします。)ただし、タップは、これらのジェスチャー。したがって、多くのユーザーは3つの場所をタップするだけで、他のジェスチャーを気にしないと思います。同時に、誰かが選択する可能性が高い写真上の場所の数が限られているため、タップは最も弱いセキュリティを持っています。したがって、セキュリティレベルに関するMicrosoftの計算の一部はやや楽観的な見方に基づいている可能性があり、ユーザーは想定したとおりに行動しない可能性があります。

結果として、画像のパスワードのエントロピーは、これらのMicrosoftブログの投稿にある見積もりよりも大幅に低くなるのではないかと思います。

Microsoftは フォローアップブログの投稿 を使用して、推測しにくい画像のパスワードを選択する方法についてユーザーにアドバイスを提供していますが、平均的なユーザーがこれを知っているかどうかはわかりません。気になります。

とは言っても、マイクロソフトは推測攻撃に対して1つの非常に重要な防御策を講じています。画像のパスワードを入力するのは5回だけです。 5回試行すると、システムによってロックされ、テキストパスワードの入力が要求されます。したがって、あなたの携帯電話を手にした人は、あなたの写真のパスワードを推測するために5回しか試行されません。適切に実装されている場合、これは推測攻撃に対する強力かつ効果的な防御のように見えます。

潜在的な弱点:最も弱いリンク効果。アカウントにログインする方法は2つあります。テキストパスワードを入力するか、画像パスワードを入力します。攻撃者がどちらかを推測できる場合、攻撃者はあなたのアカウントにアクセスすることができます。したがって、セキュリティは、これら2つのパスワードの弱いと同じくらい良好です。安全を確保するには、どちらも適切に選択する必要があります。これにより、一部のユーザーがつまずく可能性があります。

潜在的な弱点:攻撃を汚します。誰かがあなたの電話を手に取ったとします。彼らがあなたの写真のパスワードを推測しようとするもう一つの方法は、あなたの指の油によって残された画面上の汚れマークのパターンを見ることです。

過去の調査では、電話のロック画面のコンテキストで汚れのマークを調べました。彼らは、この攻撃が驚くほど効果的である可能性があることを発見しました。スマートフォンを光に対して直角にかざすと、汚れの跡がはっきりと見えることがよくあります。また、デジタルカメラを使用して直角に写真を撮ると、汚れのマークがさらにはっきりします。驚くべきことに、ユーザーが携帯電話をポケットに入れても、汚れの痕跡がはっきりと見えることに気づきました。これで指紋が消えてしまうことが予想されますが、いや、まだ見えたままです。

研究は次の論文で説明されています:

Windowsの画像パスワードのコンテキストではこれについて何もしていませんが、同様の方法が攻撃者が画像のパスワードを推測し、パスワードのエントロピーを大幅に減らすのに役立つと思います。幸いなことに、攻撃者は推測を5回しか得ないため、スマッジ攻撃を困難にするのに役立ちます。

たとえば、攻撃者が幸運になり、画面に汚れのマークが3つしかないとします。それから3つあります! = 3 * 2 * 1 =これらの6つの可能な再注文。攻撃者は、画像のパスワードを推測するために5回試行します。したがって、このシナリオでは、攻撃者はロックアウトされる前に画像パスワードを5/6の確率で推測する可能性があります。とはいえ、これは攻撃者にとって可能な限り最良のケースであり、実際には、攻撃はマウントが難しくなる可能性が高いです。タッチスクリーンの。

この攻撃のより技術が低く、より極端なバージョンとして、PINエントリキーパッドの次の写真を検討してください。

keypad with wear pattern

キーの摩耗パターンに基づいてPINを推測できますか?はい、とても良いです。

潜在的な弱点:ショルダーサーフィン。別の攻撃の可能性は、ログイン時に誰かがあなたの肩越しに見ていると、非常に簡単に気付くということですあなたがタップしているところ。実際、画像のパスワードが入力されていることに気づくことは難しいでしょう。したがって、他の誰かの視界に入っているときに写真のパスワードを入力することは安全ではありません。

利点:便利です。画像のパスワードは、ユーザーにとって使いやすく、便利であると思います。現在、モバイル/タッチスクリーンデバイスで認証するためのすべての方法は、お尻の痛みです。タッチスクリーンのキーパッドでテキストパスワードを入力するのは恐ろしい経験であり、ユーザーに質の悪い短いパスワードを選択させるだけです。これは、セキュリティには適していません。したがって、画像のパスワードはユーザーにとって良いものになると思います。

利点:代替案よりも悪いことはありません。現在、モバイルプラットフォームでは、主な代替案はユーザーに4桁の入力を求めていますPINまたはAndroidまたはiPhoneで行われるように、ロック解除ジェスチャーを使用するようにユーザーに要求します。ただし、これらにも独自のセキュリティ上の弱点があり、したがって、モバイルプラットフォームの場合、Windows画像のパスワードは、平均的なユーザーにとって十分な、使いやすさとセキュリティの間の実用的かつ合理的なトレードオフを表す可能性があります。

結論と要点。私の個人的な印象は、それはもっともらしいスキームのようであり、多くのまたはほとんどのユーザーにとって適切なスキームのようです。全体的に、エンジニアリングの制約を考えると、それは私にとって実用的な選択のように感じられます-より良いものを考え出そうとするのは難しいでしょう。ただし、これは新しいスキームであり、実際にそれがどれほど安全であるかをよりよく理解するには、さらに調査が必要になります。スキームのセキュリティは、ユーザーがそれをどのように使用するかに大きく依存するため、一般的なユーザーにうまく機能するかどうかを判断するには時期尚早です。

関連するスキーム。モバイルまたはタッチスクリーンデバイスでの認証の他のスキームについては、 iPhoneの「ドットを接続する」パスワードは安全ですか? および Androidのパスワード画面はデータの盗難から十分にロックされていますか?

18
D.W.

@ D.W。すばらしい分析 をここに投稿したので、私が指摘した懸念について詳しく説明します コメントで 。 (ポストイントロ編集:意図したよりも少し進んだようです。いずれにせよ、これが皆さんのお役に立てば幸いです。本当に短いバージョンが必要な場合は、最後にジャンプしてください。)

彼が言うように、ほとんどの場合、Windows 8の画像パスワードは「他の選択肢よりも悪くない」でしょうが、これは特定の範囲と視点に持ち込む必要があります。唯一のユーザーインターフェイスとしてタッチスクリーンを備えたスマートフォン、タブレット、およびその他のデバイスの場合、Windows 8の画像のパスワードとほぼ同じように、代替手段はすべてかなり貧弱です-1つの例外はありますが、大多数のユーザーはそれを選択しないため、.

タッチ専用インターフェースの場合、通常、次のオプションの1つ以上があります。

  • 数値パスワード
  • グリッドベースのジェスチャーパスワード
  • Windows 8画像パスワード
  • フルASCIIスクリーンキーボードを介したパスワード

完全なASCIIパスワードを脇に置いておきましょう。これは、おそらく人口の99%以上がこのオプションを無視するためです。画面キーボードは、必要なときにそのまま書くのに苦痛です。デバイスのロックを解除するたびにそれらを使用することさえ考えないようにします。たとえロックを解除したとしても、それらは、ほんの一握りの小文字からなる低エントロピーパスワードを選択する可能性がはるかに高くなります。より長く、より複雑な、より適切なパスワードを検討してください。

これを方程式から外すと、Windows 8以外の独自のパスワードのうち最も弱いものを決定するのは少し難しいです。数値パスワードの主な脆弱性は、他のパスワードとほとんど区別されるものであり、多くのユーザーが「PIN」の共通要素を選択する習慣があるためです。パスワードが「 馬鹿が荷物に持っているようなもの 」でない場合、それは多くの場合、ユーザーの自宅の住所、誕生日、好きなアスリートのジャージ番号、記念日、またはその他のソーシャルエンジニアリングを通じて予測できます。

グリッドベースのジェスチャーパスワードは、一部の点で悪くないとしても、ほぼ同じくらい脆弱です。これは、ユーザーがセキュリティよりも使いやすさに重点を置いたかなり一般的なジェスチャーを好む傾向があるためです。おそらく、さらに悪いのは、前者のオプションで選択したであろう、弱い可能性のある数値パスワードの明白な表現であるジェスチャーを選択することです。単一のジェスチャーでロックを解除できるシステムもかなり弱いです。これは、汚れの観察により、ジェスチャーの見かけの開始点と終了点、およびたどる必要のあるパスが簡単に明らかになるためです。最も。

次に、Windows 8の画像のパスワードを取得します。画像はユーザーが選択できるため、PINパッドに関連付けられるという便利なオプションがないものを選択するのは簡単です。したがって、これらのパスワードは、私たち全員が知って嫌うようになった弱い数字のパスワード(または、攻撃側にいる場合は大好きです)また、複数のジェスチャーが必要です。つまり、グリッドベースのジェスチャーパスワードと比較すると、少しだけ多くなります。ジェスチャーを実行する必要があるシーケンスを確実に推測することは困難ですが、これは、汚れの観察時にユーザーが明確なシーケンスを提示しないパスワードを選択することに一部依存しています。

前述のスクリーンキーボードを除いて、上記すべては、多かれ少なかれ2つの非常に効果的な攻撃に対して非常に脆弱です。

  • 汚れ観察
  • ショルダーサーフィン

すでに述べたように、観察を汚す脆弱性は方法によって異なり、一部はユーザーのパスワードの選択に依存します。 Windows 8の画像パスワードは、シングルジェスチャのグリッドベースのパスワードよりもこの種の攻撃に対して耐性がある可能性がありますが、同じ長さの数値パスワードでほぼ同等の根拠になる可能性があります。

これらのシステムはすべて、ほぼ同じようにショルダーサーフィンに対して脆弱です。ただし、ほとんどのタッチスクリーンのみのデバイスでは、ショルダーサーフィンは一般にかなり明白で不快な個人用スペースへの侵入を必要とします。被害者が気づき、意識している可能性のあるものであり、必要に応じて簡単に追加の対策を講じることができます。

ただし、ここで分析のスコープが重要になります。 Windows 8は、多くの場合それとは違って見えるかもしれませんが、モバイルのタッチスクリーンのみのプラットフォーム用ではありません。したがって、画像のパスワードもこれらのデバイスに限定されません。また、キーボードとマウスを備え、画面がはるかに大きい従来のデスクトップデバイスでも使用できます。

これらのシナリオでは、Windows 8の画像のパスワードとグリッドベースのジェスチャーパスワードを考慮する必要はありません。どうして?それは、認証機能のフィードバックを肩のサーファーにさえ部分的に隠すことができるメカニズムを提供しないので、キーボードの利用可能性は、これを可能にするオプションを容易に実現可能にするからです。次に、ASCII文字の完全なセットを指先で簡単に快適に利用できると考えたら、数値のみのパスワードも捨てる必要があります。

物理キーボードの何がそれほど重要ですか?それはタッチタイピングを容易にし、ますます多くの人々がタッチタイピングを上手くしています。また、タッチ入力が可能な場合は、他のシステムのように画面上にパスワードの一部を表示する必要はありません。また、タッチタイピングを利用できる場合は、長くて複雑なパスワードを作成する方がはるかに簡単で快適です。まともなタッチタイピストは、適度に長いパスワードを十分な速さで入力でき、指を少し動かすだけで、何気ない観察者が1回のパスでパスワードを正確にキャプチャするのがかなり困難になります。

ジェスチャーベースのパスワード(グリッドまたは画像)を使用すると、入力したパスワード全体が効果的にコンピューター画面に表示されます。これはまさに、ほとんどのタイプ済みパスワードフォームフィールドの小さなドットとアスタリスクが防ぐことを意図したものです。適度な距離から画面を見ている人がパスワードを入力するとそこにパスワードが表示され、パスワードが単純なジェスチャーやパターン( Simon 、誰か?)のように覚えやすいものである場合、コンピュータのロックを解除するときに、隣に座っている全員と共有してください。

TL; DR:Windows 8の画像のパスワードは、実際にはモバイルデバイスにとってはより優れたオプションである可能性があります(どれほど優れているか、それでも議論のテーマです)。物理キーボードがある場合は、物理キーボードに固執します。より良いものにしたい場合は、多要素認証を追加してください。

5
Iszi