Anmelden mit Bildkennwort
Das Bildkennwort ist eine neue Methode zur Anmeldung bei Windows 8, die derzeit in der Developer Preview enthalten ist. Werfen wir einen Blick hinter die Kulissen, um uns mit den Sicherheitsaspekten und der Funktionsweise dieses Features vertraut zu machen. Einer der Vorteile von Touchscreens ist eine neue Anmeldungsmethode für Ihren PC. Obwohl viele von uns ihren PC lieber ohne Kennwort starten möchten, ist dies in den meisten Situationen nicht ratsam. Die Möglichkeit einer raschen und problemlosen Anmeldung mit Gesten ist daher besonders wichtig – vor allem, da die Anmeldung mit alphanumerischen Kennwörtern auf Telefonen mit Touchscreens sehr unpraktisch ist. Dieser Beitrag wurde von Zach Pace, einem Programmmanager unseres You Centered Experience-Teams, verfasst und behandelt Umsetzung und Sicherheitsaspekte des Bildkennworts unter Windows 8. Es sei kurz angemerkt, dass ein Bildkennwort auch per Klicken und Ziehen mit einer Maus eingegeben werden kann.
– Steven
Die Anmeldung an einem Gerät mit Touchscreen war bislang unpraktisch. Aufgrund der ständig steigenden Anforderungen an Kennwörter – Zahlen, Sonderzeichen und Großbuchstaben – kann es bis zu 30 Sekunden dauern, ein langes komplexes Kennwort über eine Bildschirmtastatur einzugeben. Doch wir sind überzeugt, dass unter Windows 8 alles einfacher und schneller gehen muss – auch die Anmeldung.
Auch bei anderen Benutzeroberflächen wurde an diesem Problem gearbeitet. Die bekannteste Lösung ist die PIN. Eine PIN ist eine gute Lösung: Fast alle Benutzer sind mit diesem System vertraut, und ein Tastenfeld ist auf einem Touchscreen einfach zu bedienen. Doch gibt es noch reichlich Raum für Verbesserungen.
Zahlenfolgen stellen Benutzer vor das Problem, dass die einfach zu merkenden Kombinationen in der Regel auch die geringste Sicherheit bieten. Ein Problem sind besonders einfache Ziffernfolgen wie 1111 oder 1234, jedoch auch PINs, die aus persönlichen Daten bestehen. Diese kann ein Angreifer möglicherweise erraten, wenn er den Benutzer kennt. (Oft sind diese Daten auch nicht schwer zu beschaffen.) In diesem Fall beeinträchtigt eine persönliche PIN die Sicherheit. Wir bieten hier eine völlig neue Lösung: eine schnelle und problemlose Anmeldung, die dabei für jeden Benutzer individuell ist.
Eine individuelle Anmeldung
Grundsätzlich besteht ein Bildkennwort aus zwei zusammengehörigen Teilen. Einem Bild aus Ihrer Sammlung und einer Anzahl bestimmter Gesten, die Sie über diesem zeichnen. Statt aus einem von Microsoft vorgegebenen Satz an Bildern auszuwählen, verwenden Sie ein eigenes Bild. Dies erhöht zum einen die Sicherheit des Kennworts, zum anderen können Sie es sich leichter merken. Sie entscheiden sich für ein Bild und die Elemente, die Sie für das Bildkennwort verwenden möchten. Zusätzlich sehen Sie dann auf dem Anmeldebildschirm eines Ihrer Lieblingsbilder, wie es viele Benutzer für den Sperrbildschirm Ihres Telefons verwenden.
Einfach ausgedrückt werden beim Bildkennwort Bereiche auf einem Bild mithilfe einer bestimmten Anzahl zuvor festgelegter Gesten markiert. Die geeignetsten Gesten wurden in einer Studie mit Testbenutzern ermittelt, die bestimmte Bereiche in privaten Bildern markieren sollten. Das war auch schon alles. Die von Benutzern verwendeten Gesten lassen sich in drei Kategorien unterteilen: Zeigen auf bestimmte Stellen, Verbinden von Bereichen bzw. Ziehen von Linien sowie das Einschließen von Bereichen. Diese Ideen wurden als Tippen, Linie und Kreis umgesetzt. Dies sind die Gesten, die es Benutzern ermöglichen, wichtige Bereiche auf Bildern zu markieren.
Linien- und Kreisgesten bieten einen zusätzlichen Sicherheitsaspekt: die Richtung. Wenn Sie einen Kreis oder eine Linie über das ausgewählte Bild zeichnen, speichert Windows die Richtung, in der die geometrische Form gezeichnet wurde. Wenn also jemand versuchen sollte, Ihr Kennwort zu knacken, müssen nicht nur die markierten Bildteile und die Reihenfolge beachtet werden, in der diese markiert wurden, sondern auch die Richtung sowie die Start- und Endpunkte von Kreisen und Linien.
Wir haben auch Freihandgesten getestet. Allerdings haben wir bei diesem Konzept sowohl beim Entwurf als auch bei den Tests einen entscheidenden Nachteil festgestellt: Die Anmeldung dauert zu lange. Und wir strebten ja eine Lösung an, die schneller als eine Eingabe über eine Bildschirmtastatur ist. Die Dauer einer Anmeldung über Bildschirmtastatur bildete während der gesamten Entwicklung dieses Features die entscheidende Benchmark für den Erfolg unserer Methoden. Benutzer, die sich mit Freihandgesten anmelden, benötigen dafür deutlich länger. Das Konzept verleitet zu unnötiger Genauigkeit beim Zeichnen der Linien über ein Bild.
Es zeigte sich, dass für eine begrenzte Anzahl von Gesten nur ein Drittel der Zeit erforderlich war, da die Benutzer Bereiche statt kleiner Details markieren. Nach mehrmaliger Verwendung benötigen Benutzer durchschnittlich nur noch vier Sekunden für die Anmeldung – gegenüber 17 Sekunden bei einer Freihandeingabe. Viele Benutzer wollten nach der mehrmaligen Verwendung der Freihandeingabe lieber einfache Linien ziehen und Punkte markieren.
Funktionsweise
Nach der Auswahl eines Bilds wird dieses in ein Raster aufgeteilt. Die lange Seite des Bilds wird in 100 Abschnitte unterteilt. Anhand dieser Skala wird anschließend auch die kurze Seite des Bilds aufgeteilt, um das Raster zu erstellen, auf dem Sie die Gesten zeichnen.
Anschließend legen Sie Ihr Bildkennwort fest, indem Sie die Gesten über dem erstellten Raster zeichnen. Einzelne Punkte werden durch ihre Koordinaten (x, y) auf dem Raster definiert. Bei Linien werden die Start- und Endkoordinaten gespeichert. So wird ermittelt, in welcher Richtung die Linie gezogen wird. Bei Kreisen wird der Mittelpunkt, der Radius und die Richtung gespeichert. Bei einem Punkt werden lediglich dessen Koordinaten gespeichert.
Bei der Anmeldung mit einem Bildkennwort werden die eingegebenen Gesten mit den Gesten verglichen, die bei der Einrichtung des Kennworts gespeichert wurden. Für jede Geste werden die Unterschiede verglichen und anhand der Gesamtabweichungen für alle Gesten ermittelt, ob die Authentifizierung erfolgreich war. Die Authentifizierung schlägt fehl, wenn eine Geste falsch eingegeben wurde, z. B. eine Linie anstelle eines Kreises. Wenn die Arten, die Reihenfolge und die Richtung übereinstimmen, wird die Authentifizierung gewährt, wenn die Unterschiede zu den festgelegten Gesten in einem akzeptablen Rahmen liegen.
Dies soll am Beispiel des Tippens auf einen Punkt genauer erläutert werden. Der Punkt ist die einfachste der drei Gesten, sowohl was die Anzahl der eindeutigen Möglichkeiten als auch die folgende Analyse angeht. Eine Vergleichsfunktion ermittelt mithilfe des Abstands zwischen der als Teil des Bildkennworts festgelegten Geste sowie der eingegebenen Geste, ob der angetippte Punkt mit dem Referenzpunkt übereinstimmt. Der Vergleichswert liegt bei einer genauen Übereinstimmung bei 100 % und kann bis zu 0 % reichen, wenn der eingegebene Punkt weit entfernt liegt. Ein Vergleichswert von >= 90 % wird als Übereinstimmung gewertet. Hier sehen Sie eine Darstellung der Vergleichsfunktion für einen Punkt in der unmittelbaren Umgebung einer 100 %-igen Übereinstimmung.
Der Bereich, der als Übereinstimmung gewertet wird, ist ein Kreis mit dem Radius 3; d. h., für jeden Punkt werden 37 Stellen (X, Y) als Übereinstimmung gewertet. Bei Linien und Kreisen erfolgen ähnliche Berechnungen.
Sicherheit und Anzahl der Gesten
Für die erforderliche Anzahl von Gesten für ein Bildkennwort gelten Überlegungen bezüglich Sicherheit, Merkbarkeit und Geschwindigkeit. Wir haben diese oft widersprüchlichen Attribute in Einklang gebracht, um Benutzern eine rasche und sichere Anmeldung zu ermöglichen. Ermittelt wurde die für unsere Sicherheitsziele angemessene Anzahl von Gesten, indem das Bildkennwort mit anderen Authentifizierungsmethoden, insbesondere PIN und Textkennwort, verglichen wurde.
Die Anzahl individueller PINs ist einfach zu ermitteln. Eine 4-stellige PIN (4 Ziffern mit je 10 möglichen Werten) bedeutet 104 = 10.000 individuelle Kombinationen.
Bei alphanumerischen Kennwörtern lässt sich die Berechnung vereinfachen, wenn man sich ein Kennwort als Zeichenfolge vorstellt, die aus Kleinbuchstaben (26), Großbuchstaben (26), Ziffern (10) und Sonderzeichen (10) besteht. Im einfachsten Fall von n Kleinbuchstaben sind dies 26n Möglichkeiten. Wenn ein Kennwort aus 1 bis n Zeichen bestehen kann, berechnen sich die Möglichkeiten folgendermaßen:
Das heißt, für ein Kennwort mit acht Zeichen gibt es 208 Milliarden mögliche Kombinationen. Dies wird den meisten Benutzern ziemlich sicher vorkommen.
Leider bestehen jedoch die Kennwörter der meisten Benutzer nicht aus zufälligen Kombinationen. Auf ihren eigenen Geräten verwenden Benutzer meist einfache Wörter und Ausdrücke, Namen von Familienmitgliedern usw.
Gehen wir nun davon aus, dass der Benutzer ein Kennwort erstellt, dass aus Kleinbuchstaben, einem Großbuchstaben und einer Ziffer bzw. einem Sonderzeichen besteht. Der Großbuchstabe und die Ziffer/das Sonderzeichen können dabei an einer beliebigen Stelle im Kennwort stehen. Die Anzahl individueller Kennwörter lässt sich dann wie folgt berechnen:
In der folgenden Tabelle wird dargestellt, wie die Anzahl der möglichen Kennwörter von der Länge und den verwendeten Zeichen abhängt.
Kennwortlänge |
Individuelle Kennwörter |
1 |
n. z. |
2 |
n. z. |
3 |
81.120 |
4 |
4.218.240 |
5 |
182.790.400 |
6 |
7.128.825.600 |
7 |
259.489.251.840 |
8 |
8.995.627.397.120 |
Beim Bildkennwort lassen sich für jeden Gestentyp vergleichbare Berechnungen anstellen. In den folgenden Tabellen werden sowohl die einzelnen Positionen der Gesten als auch die Toleranz des Erkennungsalgorithmus berücksichtigt.
Bei der einfachsten Geste, dem Tippen auf einen Punkt, lässt sich die Anzahl individueller Gesten wie folgt darstellen:
Anzahl des Tippens |
Individuelle Gesten |
1 |
270 |
2 |
23.535 |
3 |
2.743.206 |
4 |
178.832.265 |
5 |
15.344.276.658 |
6 |
1.380.314.975.183 |
7 |
130.146.054.200.734 |
8 |
13.168.374.201.327.200 |
Die Kreisgeste ist komplexer als das Tippen auf einen Punkt, jedoch weniger komplex als eine Linie. Nehmen wir für die Darstellung der relativen Sicherheit der Kreisgeste an, der Angreifer weiß, dass der Radius zwischen 6 und 25 betragen muss (womit sich die der Aufwand zum Erraten einer Kreisgeste verringert). Außerdem setzen wir voraus, dass die X- und die Y-Koordinate zwischen 5 und 95 liegen. Damit ergibt sich für einen Angreifer folgender Lösungsbereich:
Ausgehend von der Anzahl möglicher Kreise, lässt sich die Anzahl individueller Gesten wie folgt darstellen:
Anzahl der Kreise |
Individuelle Gesten |
1 |
335 |
2 |
34.001 |
3 |
4.509.567 |
4 |
381.311.037 |
5 |
44.084.945.533 |
6 |
5.968.261.724.338 |
7 |
907.853.751.472.886 |
Die Linie ist die komplexeste der drei Gesten. Eine Linie besteht aus zwei Punkten innerhalb eines Rasters (100 x 100) sowie der Reihenfolge dieser Punkte. Daraus ergeben sich theoretisch 100 Millionen mögliche Linien. Da Linien jedoch über eine Mindestlänge von 5 Einheiten verfügen müssen, gibt es tatsächlich 99.336.960 individuelle Linien. Im Gegensatz zu den Möglichkeiten für Hacker, mit Ausschlussverfahren mögliche Kreisoptionen zu reduzieren, gibt es bei Linien diese simplen Vereinfachungsmethoden für Hacker nicht. Linien können ebenso von einem Ende des Bildschirm zum anderen reichen oder auch nur ganz kurz gezogen werden. Die Anzahl der Gesten für Linien setzt sich wie folgt zusammen:
Anzahl der Linien |
Individuelle Gesten |
1 |
1.949 |
2 |
846.183 |
3 |
412.096.718 |
4 |
156.687.051.477 |
5 |
70.441.983.603.740 |
Mit diesen Kenntnissen über die Sicherheit einzelner Gesten können wir die Daten zusammenfassen, um die Sicherheit von Sätzen aus mehreren Gesten zu berechnen. Dazu können die einzelnen Gesten für alle drei Gestentypen addiert werden. Dies ergibt die spezifische Gestenlänge n, die mit sich selbst potenziert wird. So erhalten wir folgende Tabelle, in der Bildkennwörter sowohl mit PINs als auch mit alphanumerischen Kennwörtern verglichen werden.
Länge |
10-stellige PIN |
Einfaches, nur aus Buchstaben bestehendes Kennwort |
Komplexeres, nur aus Buchstaben bestehendes Kennwort |
Bildkennwort aus mehreren Gesten |
1 |
10 |
26 |
n. z. |
2.554 |
2 |
100 |
676 |
n. z. |
1.581.773 |
3 |
1.000 |
17.576 |
81.120 |
1.155.509.083 |
4 |
10.000 |
456.976 |
4.218.240 |
612.157.353.732 |
5 |
100.000 |
11.881.376 |
182.790.400 |
398.046.621.309.172 |
6 |
1.000.000 |
308.915.776 |
7.128.825.600 |
|
7 |
10.000.000 |
8.031.810.176 |
259.489.251.840 |
|
8 |
100.000.000 |
208.827.064.576 |
8.995.627.397.120 |
Wir sehen, dass durch die Verwendung von drei Gesten eine erhebliche Anzahl eindeutiger Gestenkombinationen möglich ist, deren Sicherheitsniveau dem eines Kennworts aus 5 bis 6 zufällig gewählten Zeichen entspricht. Außerdem ist ein Bildkennwort aus drei Gesten einfach zu merken und anzuwenden.
Zusätzlich zur Anzahl eindeutiger Kombinationen wurde die Sicherheit des Features durch zwei Sicherheitsmaßnahmen gegen wiederholte Versuch-und-Irrtum-Angriffe erhöht. Ähnlich wie die Sperrfunktion bei PIN-gesicherten Telefonen wird auch dieses Feature nach 5 Fehleingaben gesperrt, bis Sie sich mit Ihrem normalen Textkennwort anmelden. Zusätzlich wird das Bildkennwort in Remote- und Netzwerkszenarios deaktiviert, um Netzwerkangriffe auf dieses Feature zu unterbinden.
Um noch einmal Missverständnisse auszuräumen: Das Bildkennwort ist eine zusätzliche Methode zur Anmeldung und kein Ersatz für das Textkennwort. Sie sollten über eine gute Sicherheitsfrage und Schutzmechanismen für Ihr Textkennwort verfügen, dass Sie weiterhin für die Anmeldung verwenden können. (Auf dem Anmeldebildschirm können Sie mit einem Klick zwischen beiden Anmeldemethoden wechseln.)
Sicherheit in Bezug auf Schlieren
Weiterhin haben wir uns Gedanken über praktische Sicherheitsmaßnahmen bei Verwendung des Bildkennworts gemacht. Viele Benutzer sind wegen der Schlieren auf dem Touchscreen besorgt und fragen sich, ob das Kennwort mithilfe dieser Schlieren erraten werden kann. Da die Reihenfolge, Richtung und Position der Gesten gleichermaßen wichtig sind, ist es äußerst schwierig, nur aufgrund der Schlieren das Kennwort zu erraten. Dies gilt selbst für ansonsten saubere Touchscreens, auf Touchscreens mit zahlreichen Gebrauchsspuren ist dies natürlich noch schwieriger.
Die mögliche Bedrohung bei Schlieren durch Anmeldegesten liegt darin, dass möglicherweise die Reihenfolge der Anmeldegesten erraten werden kann. Wir können drei Anmeldemethoden vergleichen – Eingabe über eine Bildschirmtastatur, eine vierstellige PIN und ein Bildkennwort –, um das Risiko des Erratens der Anmeldeinformationen einzuschätzen. Gehen wir vom schlimmsten Fall aus:
- Der Touchscreen ist makellos sauber.
- Der Benutzer berührt ausschließlich die für die Anmeldung erforderlichen Stellen.
- Der Benutzer macht keine weiteren Touchscreen-Eingaben.
- Der Hacker stiehlt das Gerät und kann mit 100-prozentiger Sicherheit jede Anmeldungsgeste erkennen.
Dieses Szenario ist natürlich sehr unwahrscheinlich, ermöglicht jedoch einen Vergleich der drei Authentifizierungsmethoden und ihrer Anfälligkeit für einen solchen Hackerversuch.
Bei einer PIN-Eingabe befindet sich für jede eingegebene Zahl eine Schliere an einer bekannten Position. Wenn die PIN aus n Zahlen besteht und sich keine Zahl wiederholt (die am schwersten zu erratende Kombination), gibt es n! Möglichkeiten, die PIN-Zahlen zu sortieren. Für eine übliche 4-stellige PIN ergeben sich 24 Kombinationsmöglichkeiten.
Für ein Textkennwort gibt es ebenfalls n! Möglichkeiten, die Buchstaben eines Kennworts mit n Zeichen zu sortieren. Normalerweise verwendet der Benutzer die UMSCHALT-TASTE (oder eine andere Taste), um alternative Zeichensätze zu verwenden. Diese Tastenbetätigung kann der Hacker natürlich auch erkennen. Es ist jedoch nicht ersichtlich, an welcher Stelle der Eingabe die UMSCHALT-TASTE verwendet wurde. Wenn wir vereinfachend davon ausgehen, dass die UMSCHALT-TASTE nur einmal verwendet wurde, gibt es für das Textkennwort n!·n Möglichkeiten.
Für Gesten gibt es ebenfalls n! Möglichkeiten. Mit jedem Kreis und jeder Linie eines Gestensatzes erhöht sich die Anzahl der Möglichkeiten um den Faktor zwei. Wenn alle Gesten Kreise oder Linien sind, ergibt sich für die Möglichkeiten der gleiche Wert wie für ein Kennwort mit UMSCHALT-TASTE, nämlich .
In folgender Tabelle werden die Anzahl der Möglichkeiten für jede der Methoden für verschiedene Eingabelängen aufgeführt:
Länge |
PIN |
Kennwort |
Kennwort mit UMSCHALT-TASTE |
Nur Tipp-Gesten |
Linien und Kreise |
1 |
1 |
1 |
1 |
1 |
2 |
2 |
2 |
2 |
4 |
2 |
8 |
3 |
6 |
6 |
18 |
6 |
48 |
4 |
24 |
24 |
96 |
24 |
384 |
Es sei noch einmal betont, dass hier von einem völlig sauberen Bildschirm ausgegangen wird, auf dem nur die Schlieren der Anmeldegesten sichtbar sind. Wenn der Bildschirm aufgrund starker Benutzung viele Schlieren aufweist oder die Eingaben nur über Maus und Tastatur erfolgen, ist es noch unwahrscheinlicher, die richtige Reihenfolge zu erraten. Mit den drei Gestentypen, der Richtung und der Vorgabe, dass die Eingabe aus mindestens drei Gesten bestehen muss, ergeben sich, wie bereits errechnet, 1.155.509.083 Kombinationsmöglichkeiten.
Als letzten Angriff untersuchten wir bestimmte Punkte auf einem Bild oder Bereiche, die Benutzer möglicherweise bevorzugen, wenn ihnen ein Bild gezeigt wird. Obwohl unsere Untersuchungen ergaben, dass diese Hackingmethode höchst ineffektiv ist (für die von Benutzern ausgewählten Bereiche und die darin ausgeführten Bereiche gab es kaum Übereinstimmungen) analysieren wir dieses Szenario. Dabei nehmen wir an, dass ein bestimmtes Bild über auffällige Bereiche verfügt. Wenn der Benutzer eine beliebige Kombination aus Tippern, Kreisen und Linien auswählen kann, können die Kombinationsmöglichkeiten wie folgt berechnet werden: . Dabei ist n die Länge des Bildkennworts. Es ergeben sich also folgende Kombinationsmöglichkeiten:
Auffällige Bereiche |
Länge |
5 |
10 |
15 |
20 |
1 |
75 |
200 |
375 |
600 |
2 |
5.625 |
40.000 |
140.625 |
360.000 |
3 |
421.875 |
8.000.000 |
52.734.375 |
216.000.000 |
4 |
31.640.625 |
1.600.000.000 |
19.775.390.625 |
129.600.000.000 |
Wenn wir annehmen, dass das durchschnittliche Bild über 10 auffällige Bereiche verfügt und die Gestensequenz aus drei Gesten besteht, gibt es 8 Mio. Kombinationsmöglichkeiten. Die Wahrscheinlichkeit, die richtige Eingabe mit 5 Versuchen zu erraten, ist äußerst gering.
So sehr wir mit der Sicherheit eines Bildkennworts zufrieden sind, ist und bewusst, dass in vielen Geschäftsfeldern Sicherheit von höchster Bedeutung ist, sodass nur Kennwörter annehmbare Sicherheitsmaßnahmen darstellen. Daher wurde eine Gruppenrichtlinie implementiert, die es Domänenadministratoren ermöglicht, Bildkennwörter zuzulassen oder abzulehnen. Dies gilt natürlich auch für Ihren Heim-PC.
Bei Beginn der Entwicklung von Bildkennwörtern war das Ziel eine schnelle, benutzerfreundliche und individuelle Anmeldemethode für Benutzer von Windows 8, deren Sicherheit dennoch zuverlässig ist. Unsere Untersuchungen und Verbesserungen der praktischen Erkenntnisse und des theoretischen Konzepts bestärken uns darin, dass diese Methode sowohl sicher als auch intuitiv ist. Wir sind von Bildkennwörtern und der Individualität, die es unter Windows 8 ermöglicht, überzeugt. Und Sie werden es sicher auch sein!
– Zach
Laden Sie dieses Video herunter, und spielen Sie es in einem geeigneten Media-Player ab:
MP4 in hoher Qualität | MP4 in niedriger Qualität