ATTT_Trong số những tính năng mới của Windows 8, tính năng mật khẩu hình ảnh (picture password) được nhiều người quan tâm. Người dùng không muốn nhớ mật khẩu có thể đăng nhập hệ thống (sau khi đã khai báo) bằng cách “chạm” và vẽ một số đường trên một bức ảnh (trên màn hình cảm ứng) theo đúng thứ tự định trước.

 Tuy nhiên, nhược điểm căn bản của mật khẩu hình ảnh là việc di ngón tay trên màn hình cảm ứng có thể bị quay trộm từ xa và làm lộ “mật khẩu” khá dễ dàng. Những người thiết kế màn hình nhập mật khẩu ký tự thông thường đã nhận ra điểm yếu đó và thay thế ký tự hiển thị trên màn hình bằng các chấm tròn. Bên cạnh đó, dấu vết của ngón tay để lại trên màn hình cũng có khả năng làm lộ mật khẩu hình ảnh.
Microsoft đã khuyến cáo người dùng một số điểm khi thiết lập và sử dụng mật khẩu hình ảnh:
- Trước hết, cần lưu ý lựa chọn những hình ảnh có ít nhất 10 điểm đáng quan tâm. Nói cách khác, phải có hơn 10 khu vực để vẽ;
- Nên kết hợp các kiểu “vẽ” khác nhau (chấm, vạch đường thẳng, vẽ đường tròn) theo các thứ tự khác nhau để tăng độ phức tạp của mật khẩu hình ảnh;
- Với đường tròn, nên chọn vẽ xuôi/ngược chiều kim đồng hồ một cách ngẫu nhiên;
- Với các đường thẳng, nên chọn vẽ từ trái sang phải hoặc ngược lại một cách ngẫu nhiên;
- Tránh để người khác nhìn bạn “vẽ mật khẩu” (tất nhiên cũng nên đề phòng các thiết bị ghi hình);
- Bảo quản máy tính ở một nơi an toàn để người khác không thể sử dụng trái phép.
Để đánh giá mật khẩu hình ảnh của Windows 8 an toàn đến mức nào và nó có giúp người dùng tránh khỏi những rủi ro của mật khẩu thông thường hay không, chúng ta xem xét những số liệu sau đây.
Trước tiên, chúng ta cần hiểu cơ chế hoạt động của nó. Các thao tác “vẽ” trên màn hình cảm ứng của ngón tay người dùng được theo dõi qua một lưới “vô hình” trên màn hình. Lưới đó gồm 100 ô vuông theo cạnh dài nhất, chẳng hạn như một màn hình 1366x768 screen sẽ được chia thành lưới 100x70 ô.
Khi người dùng đăng nhập, hệ thống so sánh khoảng cách giữa các điểm của nét vẽ với thông tin được ghi nhận khi thiết lập. Bảng dưới đây thể hiện độ chính xác của nét vẽ khi đăng nhập so với nét vẽ khi đăng ký mật khẩu; nếu điểm đánh giá thấp hơn 90% thì người dùng sẽ bị từ chối đăng nhập. Dĩ nhiên, nếu người dùng vẽ sai hình (vẽ đường thẳng thay cho đường tròn) thì hệ thống sẽ phát hiện ngay lập tức.
Hơn nữa, hệ điều hành còn ghi nhớ chiều hướng của ngón tay người dùng và thứ tự các hình vẽ. Từ các giả thiết toán học, người ta tính ra rằng có tới 2.743.206 cách kết hợp từ 3 chấm, 4.509.567 cách kết hợp từ 3 hình tròn, 412.096.718 cách kết hợp từ 3 đường thẳng. Nếu kết hợp cả ba cách với nhau, chúng ta có 1.155.509.083 mật khẩu! So với 1000 mật khẩu từ 3 chữ số, 17.546 mật khẩu từ 3 chữ cái thường và 81.120 mật khẩu từ 3 chữ cái + chữ số + ký tự đặc biệt, chúng ta sẽ thấy những ưu việt của tính năng mới. Ngay cả nếu người dùng để lại dấu tay trên màn hình thì hacker cũng phải chọn trong số 48 mật khẩu khác nhau. Trong khi đó, Windows 8 chỉ cho phép nhập sai mật khẩu hình ảnh 5 lần trước khi buộc người dùng nhập mật khẩu thông thường.
Tuy nhiên, người dùng buộc phải khai báo mật khẩu thông thường trước khi đăng ký mật khẩu hình ảnh, và mật khẩu thông thường vẫn được lưu trữ độc lập với mật khẩu hình ảnh trong một thư mục riêng. Do mật khẩu được lưu dưới dạng mã hoá đối xứng (thuật toán AES) nên:
- Bất kỳ người nào có quyền quản trị cũng có thể giải mã mật khẩu của tất cả những người dùng khác;
- Bất kỳ ai có thể truy cập trực tiếp máy tính (chẳng hạn như khởi động bằng đĩa CD) cũng có thể giải mã mật khẩu của bất kỳ người dùng nào. Microsoft đã tạo ra password reset disk để giải mã mật khẩu của người dùng.
Và như thế, ngay cả khi chưa xét đến các lỗ hổng khác trong việc lưu giữ và bảo quản mật khẩu, chúng ta có thể thấy, người dùng mật khẩu hình ảnh không tránh được những nguy cơ lộ mật khẩu thông thường. Để phòng tránh, Microsoft khuyên chúng ta sử dụng tiện ích SysKey để bảo mật cơ sở dữ liệu SAM (nơi lưu giữ mật khẩu mã hoá của người dùng, trong Window 8.