2012年2月11日星期六

WINDOWS 8图片密码真的安全吗?

  污渍可能泄露你的密码,远处可以看到你的密码,摄像头可以拍下你的密码,省事省时心理和突出部位让你的密码更容易被破解,Windows 8 图片密码真的安全吗?

  为进一步利用平板电脑的优势和改善用户体验,微软为 Windows 8 准备了图片密码功能,可以极大地方便触摸屏用户。普通电脑借助鼠标也可以使用图片密码功能,但更多是种娱乐功能。

  图片密码的核心由图片和用户绘制的手势组成:图片部分,用户可以自由选择图片作为图片密码登录界面的背景,这将有助于用户增加密码的安全性和易记忆性。这张图片现在看起来就像是手机锁屏一样,用户可以任意决定;手势部分:包含点、线和圈三个手势,Windows 8 会记住手势的起点和终点,画圈的手势区别顺时针和逆时针。

  图片密码确实有助于节省登录时间,微软称,图片密码登录耗时仅为手动输入密码耗时的1/3不到,用户重复使用该功能,熟悉后使用手势4秒钟即可完成任务,普通登录模式则耗时17秒(有这么长吗?)。

  Windows 8 的图片密码有着华丽的外表,而且看起来确实很棒,但该功能能否提供传统密码验证方式相当的安全性是用户最关心的问题,也成了安全界关心的重点。

  对于很大数量的使用传统的由键盘输入简单密码的用户,基于手势的验证系统可能会安全一点。但可以说 Windows 8 图片密码真的安全吗?

WINDOWS 8图片密码真的安全吗?

  除了人们普遍认识到屏幕上的污渍痕迹可能泄露用户密码之外,它还存在其他问题,比如用户在使用该功能登录系统的时候,即使是从很远的地方也能看到用户划出的手势,如果是在公共场合,这还安全吗?如果是有摄像头监控的地方,这还安全吗?

  以上讨论的是影响图片密码功能安全性的外界因素,那么图片密码功能本身又有什么问题呢?

  最最讽刺的不是国内最知名的程序员网站会被暴库,最最讽刺的是,居然国内最知名的程序员网站居然会使用明文密码。“电脑高手”聚集的 CSDN 的用户密码难道又显得有多高级?专业人士都这样了,更别说非专业人士了,电脑小白到在 Windows 7 的PC时代是电脑小白,而到了 Windows 8 的平板时代也只会继续是“平板小白”。

  按照微软的理论,由5个手势的图片密码最多有398万亿种组合可能,而传统的基于键盘的5字符密码最多仅有1.82亿种组合可能,传统的8位密码也仅有9万亿中组合可能。

  但实际情况会是怎样的呢?一个平板电脑,会有多少人设置一个由5个手势组成的图片密码呢?Our4.org 猜想用户设置图片密码的手势数更多会类似正态分布,而正态分布的顶端对应的手势数更可能为1,或者2,最多3,保守估计,用户为了省事省时,由1-3个手势组成的图片密码要占到用户设置的图片密码的60%以上,保守估计1个手势组成的图片密码要占到30%以上。

  也许你会说我这是纯粹猜想,那就让事实来证明一切,但请不要高估人们对于密码保护的意识。

  另外,关于密码,易记忆性恐怕是最最重要的一个因素,试想,如果你设置的密码,连自己都记不住,哪里还有什么安全性。而图片密码的另外一个问题是其易记忆性问题,其易记忆性可能确实不会差,但那是要付出代价的。

  先看文章开通微软给出的示例图,该示例图显示的是一个3个手势组成的图片密码。手势划出的地方全是人物的突出部位:头部、鼻子。但即使微软把登录界面的背景图片切成N多个网格,一张图片上的突出部分又有多少?(难道要把毕业照设置成背景?)在突出部位设置图片密码基本上符合人的心理,很少有人会在不突出的地方设置密码。也就是说,其实一般人使用的密码还是极有规律可循的,而密码可能组合数不可能像微软给出的数学算法得出的数字那样大,甚至比字符密码还要小。

  污渍可能泄露你的密码,远处可以看到你的密码,摄像头可以拍下你的密码,省事省时心理和突出部位让你的密码更容易被破解,Windows 8 图片密码真的安全吗?

  来源:Our4.org投稿,原文链接