Windows 8: la picture password non è sicura

Windows 8 permetterà di effettuare il login utilizzando la classica coppia username/password, il Windows Live ID e la nuova funzionalità picture password pensata principalmente per i tablet. Kenneth Weiss, esperto di sicurezza informatica e inventore del token RSA SecureID, ritiene che la soluzione proposta da Microsoft sia poco sicura.

Microsoft, come ha spiegato pochi giorni fa, ha sviluppato la picture password per semplificare la procedura di login e per evitare l’utilizzo di password complesse difficili da ricordare. L’utente può scegliere un’immagine, mostrata all’avvio di Windows 8, sulla quale eseguire tre gesture nella giusta sequenza per effettuare l’accesso al sistema operativo.

Weiss ha dichiarato che il sistema di autenticazione può essere facilmente superato se un malintenzionato registra la sequenza di login a distanza con una videocamera. Per questo motivo le password alfanumeriche vengono oscurate mediante asterischi o pallini. L’esperto paragona quindi la picture password ad un giocattolo Fisher-Price, dato che può essere considerata come un’alternativa, ma non potrà sostituire il tradizionale metodo di accesso.

In teoria si potrebbero scoprire le tre gesture anche dalle impronte digitali lasciate sullo schermo touchscreen. Microsoft però ha sviluppato la picture password tenendo in considerazione il target a cui sono destinati i tablet con Windows 8. Le aziende, se decideranno di adottare il nuovo sistema operativo, sicuramente utilizzeranno sistemi più sofisticati, come le smart card o appunto i token.