Senhas de imagem do Windows 8 são facilmente quebradas

O Windows 8 oferece um sistema de senhas por imagem, em adição às tradicionais senhas de texto, na esperança de que programar um padrão de segurança em fotos de família “além de seguro, é divertido”. Mas parece que a autenticação por imagem tem sucesso em apenas um desses pontos.

Pesquisadores de segurança da Universidade do Estado de Arizona e da Universidade do Estado de Delaware descobriram que o sistema pode ser que burlado com certa facilidade. Em pesquisa apresentada na Usenix Conference sobre a segurança das senhas por imagem, os pesquisadores Ziming Zhao, Gail-Joon Ahn e Jeong-Jim Seo do Arizona e Hongxin Hu, de Delaware, dizem que durante os experimentos eles foram capazes de quebrar as senhas em 48% das vezes em um dataset e 24% no outro.

Isso é uma média de acerto de 2¹⁹ em um espaço de possibilidades de 2³⁰. Dentro do limite de cinco tentativas de login do Windows 8, a taxa de sucesso é menor: 216 a cada 10 mil tentativas no primeiro dataset e 94 a cada 10 mil no segundo. O razão de acertos aumenta com data training adicional. Usando um ataque totalmente automático, sem informação de suporte, 0,9% das senhas são quebradas com 5 tentativas.

Embora isso possa não parecer uma vulnerabilidade significativa, o fato é que as senhas por imagem não são tão seguras quanto a Microsoft esperava. Gail-Joon Ahn espera que os resultados possam ser melhorados com um maior treinamento, categorização de imagens mais forte e técnicas de visão do computador.

Utilizar uma senha por imagem envolve a escolha de uma imagem da pasta e desenhar 3 pontos nela. O sistema aceita toques, linhas e círculos. O sistema operacional a subdivide em uma grade de 100×100 e guarda os pontos como coordenadas.

Infelizmente, usuários não são tão bons em escolher pontos aleatórios nas imagens, eles tendem a escolher locais de interesse comuns, como olhos, faces e objetos discretos. Como resultado, as senhas tendem a ser menos variadas do que as geradas aleatoriamente. Logo, são fáceis de quebrar.

Gail-Joon Ahn diz que você só precisa ver usuários selecionando pontos de interesse óbvios nas propagandas do Windows 8 usuários para ver que a proposta da Microsoft necessita desenvolvimento.

A pesquisa sugere que a Microsoft implemente um medidor de força desse tipo de senha, para evitar que os usuários escolham padrões fracos. Também sugere à Microsoft integrar as descobertas dos pesquisadores para informar os usuários do número de tentativas necessárias para acessar o sistema.