Hasła obrazkowe w Windows 8 nie są takie złe (o ile będziesz je stosował z głową)

Sporo ostatnio piszemy o kwestiach haseł i rozmaitych zamiennikówdla haseł, ale to tylko odzwierciedlenie wagi, jaką branża IT zaczęławreszcie przykładać do zagadnień bezpiecznego uwierzytelniania.Google przyznało ostatnio, że u siebie w Mountain View haseł już niestosuje (zastąpiło je najprawdopodobniej sprzętowymi generatoramijednorazowych tokenów), Apple skłania się w stronę biometrii, aMicrosoft? No cóż, zachwycony koncepcją dotykowych ekranów Microsoftwprowadził w Windows 8 hasłaobrazkowe, dzięki którym logowanie nabiera bardziej osobistegocharakteru. Nie wiemy, czy akurat osobisty charakter jest tym,czego oczekujemy po mechanizmach uwierzytelniania, ale wiemy, żeostatnio metoda ta w mediach została mocno skrytykowana.Z perspektywy wygody użytkownika te hasła obrazkowe wydają sięnawet niegłupie. Ot – użytkownik wybiera sobie obrazek, anastępnie „ozdabia” go trzema ruchami palca, rysującymikropkę, kreskę lub okrąg. Obrazek pozwala łatwo zapamiętać, gdziegesty zostały uczynione. Ciąg gestów funkcjonuje jako zamiennik hasłatekstowego. A jak z bezpieczeństwem takiego rozwiązania? Jakprzeczytać można na stronach Microsoftu, wybierasz zdjęcie irysujesz na nim kształty, dlatego liczba kombinacji jest nieskończona– hasło obrazkowe jest o wiele bezpieczniejsze niż tradycyjne.[img=login]Autorzy tego opisu najwyraźniej marne mają pojęcie onieskończoności, ale na szczęście są też w Redmond ludzie lepiejrozumiejący matematykę. Na blogu Building Windows 8 znaleźć możnaznacznie lepszą analizęhaseł obrazkowych, z której wynika, że przy trzech takich gestachmożliwe jest uzyskanie około 1,15 mld unikatowych kombinacji (czyżbyoznaczało to, że dla niektórych pracowników software'owego giganta,populacje Chin czy Indii były nieskończone?).Sprawa się nie skończyła jednak na solidnym blogowym wpisie. Wśródmateriałów z sierpniowego USENIX Security Symposium znaleźć możnaartykułpt. On the Security of Picture Gesture Authentication,autorstwa Ziming Zhao, Gail-Joon Ahna, Jeong-Jin Seo i Hongxin Hu –badaczy z uniwersytetów stanowych w Arizonie i Delaware. Przyjrzelisię oni dokładniej mechanizmowi Microsoftu i jego słabościom,przygotowując framework do ataków, wykorzystujący systemyrozpoznawania obrazów. Wyniki ich badań zainspirowały dziennikarzy dopisania newsów pod mocnymi tytułami w rodzaju „Hasło obrazkowew Windows 8 nieskuteczne”, czy też „Hasło obrazkowe wWindows 8 łatwe do złamania”, sugerując nawet, że hasło takiejest gorsze niż czterocyfrowy PIN.Co to jednak znaczy „łatwe”? Czy stosując siłowy atakprzeciwko hasłu obrazkowemu można osiągnąć sukces? Przy liczbiemożliwych kombinacji na poziomie 2^{30 mówimy o tym samym rzędziewielkości, co przy 6-znakowych hasłach, zawierających małe i dużelitery oraz cyfry. Co gorsza, sam fakt wykorzystania obrazkapomocniczego wyraźnie ułatwia taki siłowy atak. Problemem jestmożliwość zidentyfikowania obszarów znaczących na obrazku – np.nosa pieska czy koła roweru. Z obliczeń deweloperów Microsoftuwynika, że jeśli na obrazku wskazać będzie można pięć obszarówznaczących, to liczba kombinacji dla składającego się z trzech gestówhasła spadnie do 420 tys. (rząd 2}19).Jak widać, jest to znacząco lepszy wynik, niż w wypadku4-cyfrowego PIN-u, dla którego liczba kombinacji wynosi 10^{4 ~ 2}13(przy założeniu, że cyfry mogą się powtarzać). A jeśli na obrazkuwyróżnionych zostanie 10 obszarów znaczących, to przestrzeń rozwiązańwyniesie już 8 mln kombinacji (~ 2^23). Trzeba przy tym pamiętać, żewiększość scenariuszy, w których używamy haseł o niskiej złożoności(np. PIN-ów) ogranicza liczbę możliwych podejść. Tak jest też wwypadku microsoftowych haseł obrazkowych, które działają tylkolokalnie, dając użytkownikowi pięć podejść, zanim system logowaniazostanie przełączony na klasyczne hasło. Niestety w praktyce sytuacja wygląda gorzej. Największą słabościąobrazkowych haseł są ludzkie skłonności. Badania empiryczne pokazały,że w większości wypadków można skorelować odkryte obszary znaczące zużytymi na nich gestami – na przykładowym nosie pieskaużytkownicy znacznie częściej postawią kropkę, niż narysują linię.Wykorzystywany przez autorów ataku automatyczny framework dorozpoznawania obszarów znaczących, działając na bazie skonstruowanychprzez nich 10 tysięcy sekwencji gestów, pozwolił na włamanie się(przy wykorzystaniu wszystkich pięciu podejść) w 19 wypadkach na 1000prób, zaś przy wybieraniu obszarów znaczących ręcznie, w 26 wypadkachna tysiąc prób. Wygląda to już na wynik znacznie gorszy, niż wwypadku PIN-u – o ile tylko założymy, że użytkownicy PIN-ów sądoskonale sferyczni. W mniej perfekcyjnym świecie i PIN-y pełne sąsłabości. Przykładowo badania nad zabezpieczeniem iPhone'ów pokazały,że 10 najczęściej stosowanych kodów stanowi 15% wszystkich PIN-ów,zaś najpopularniejszy PIN – 1234 – stosowany był w ponad4% wypadków.Podsumowując: kody obrazkowe Microsoftu nie są złe, o ileużytkownicy zostaną pouczeni, jak z nich korzystać. Niestety, nawetna microsoftowym blogu pokazano przykład,który jest chyba najgorszym z możliwych – kropka na nosiekobiety, kółko dookoła głowy mężczyzny, odcinek między nosamidziewcząt. Na szczęście deweloperzy się później trochę poprawili,publikując na blogu zbiórporad, jak najlepiej korzystać z tego zabezpieczenia. Niestety,towarzysząca temu analiza matematyczna sprawia, że zapewne przeciętniużytkownicy natychmiast zamkną stronę. Dobrze by więc było, byMicrosoft zatrudnił swoich speców od nieskończoności do napisaniaprostego poradnika, który będzie wyjaśniał te dobre praktyki, i naktórym nie będzie przykładowego obrazka z nosem pieska.