Windows 8's图片密码登录有多安全？

Question

最后的Windows 8版本已经发布到制造业。Windows 8的一个新特性是“图片密码”，其中终端用户通过单击锁定屏幕上的特定模式登录到窗口。(对于不熟悉该功能的读者，这4分钟的视频说明了这一点。。)

• 从纯粹的安全角度来看，图片密码方案与传统密码输入方案的优缺点是什么？
• 图片密码“点击”、“圆圈”和“行”是否与密码长度相对应，即图片密码手势大致提供了多少个熵？

Answer 1

熵

比特

我在搜索图片密码提供的熵位数时发现了这个问题。熵是随机性的一个奇特的词，数字保护的安全性通常是通过计数来衡量的，这意味着必须正确指定多少二进制元素才能解锁保护。例如，如果只允许使用0和1作为密码中的字符，则其长度也是其熵。对于外面的数学书呆子来说，密码的熵是使用可能的密码数的基数2的日志。这可以方便地告诉你，你需要花费多少倍的时间才能猜出尝试所有可能的密码所需的时间(也称为“蛮力”密码，尽管当你成功的时候就停止了，所以暴力强制平均要花费一半的时间)。

，那么图片密码是多少？

数据仓库说：“你应该读这篇关于图片密码安全性的微软博客文章。”在那篇文章里我们发现

正如你所看到的，三种手势的使用提供了大量独特的手势组合，以及类似于随机选择的密码5或6个的安全承诺。

该文本出现在一个表下面，其中唯一的3手势图片密码的编号为1,155,509,083。这大约是30位熵，假设你真的使用随机手势而不是图片的特征来选择它们的位置。如果确实使用了特性，就会限制攻击者的搜索空间，就像DW指出的那样。

Answer 2

图片密码存在安全漏洞。将登录方法切换到图片密码后，Windows 8将使用可逆加密算法存储图片密码和常规用户密码。使用免费软件Mimikatz，您可以在短时间内实现解密图片密码。