Peekabu-Macher ersetzen Passwörter durch individuelle Fotos

Die Idee ist nicht ganz neu, aber die Umsetzung sehr innovativ: Passage heißt ein neuer Service, der Passwörter durch Fotos ersetzen möchte. Anstelle sich komplizierte Passwörter merken oder abspeichern zu müssen, wird man dann künftig nur noch ein ... mehr... passwort, Bilder-Passwort, Passage Bildquelle: Passage passwort, Bilder-Passwort, Passage passwort, Bilder-Passwort, Passage Passage

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Toll dann hab ich das bild und das Passwort ist geknackt ...
 
@xerex.exe: Ich glaube, du kannst nur schwer auf mein aktuelles Familienfoto zugreifen, dass nur offline/ausgedruckt verfügbar ist, oder ?
 
@Billkiller: das kann auch verloren werden, oder wird durchs rumschleppen beschädigt
 
@Hammerschaedel: Für den Fall zitiere ich gerne den Artikel: "Es gibt zudem eine Fall-Back-Lösung, falls man keinen Zugriff mehr auf sein Authentifizierungs-Bild hat."
 
@Billkiller: Und die Fallback-Lösung ist dann trotzdem wieder nur eines dieser unsicheren Passwörter... Bravo. :D
 
@xploit: Naja das Passwort kann ja dann 32 Stellen lang sein wenn man will, weil man es normal nicht braucht, dank dem Bild. So ganz dumm ist die Idee nicht, da viele User aus Faulheit schwache Passwörter nutzen.
 
@Billkiller: "nur offline"? Wenn's als Online-Check verwendet wird, dann ist es bereits online. Ausserdem sind die Leute blöd genug Details aus diesem Foto bei anderen Fotos auf Facebook bekannt zu geben.
 
Klingt interessant. Aber warum nur Bilder? Ich hatte mal Faceunlock auf dem Telefon benutzt, aber der ständige Spruch: "kein Gesicht erkannt" ging mir dann doch auf den Senkel, so zermatscht kann ich beim "anlernen" dann eigentlich nicht gewesen sein.
Wenn das mit "Gesichtern" und Fotos geht, warum dann nicht auch mit anderen komplexen Dingen, z.B. ein Schlüssel, der ist ja auch so ziemlich einmalig.
 
@wieselding: Das Problem bei Face-Login ist, dass man dann theoretisch mit jedem Bild von dir den Login umgehen könnte. Facebook-Profilfoto könnte reichen. Ein individueller Gegenstand, der neben deinem Rechner steht, ist jedoch "einzigartig" und nicht über das Internet abrufbar.
 
@kritisch_user: Faceunlock könnte man zB. erweitern indem zwei Bilder genutzt werden. Erstes Foto zentriert und Anweisung vom Gerät, Drehe das Gewicht nach Links/Rechts/Oben/Unten.
Wenn man ein Objekt in der Nähe hat, dann ist es ja auch oft Massenware.
 
@wieselding: Wozu überhaupt?
Das Problem an Passwörtern ist weniger die mangelnde Qualität, sondern viel eher, dass alle Leute ein und das selbe Passwort für einfach alles nehmen.

Also was bringt es anhand eines Bildes oder eines beliebigen Objektes ein hochkomplexes Passwort zu bauen, was durch Brute Force nicht mehr zu erraten ist, wenn das ohnehin nicht mehr die gängige Methode ist?
Die Menschen nehmen dann eben EIN Bild als Passwort für alles und irgend ein Dienst, der sich nicht um die Sicherheit schert wird gehackt und die "digitalen Fingerabdrücke" der Bilder werden geklaut.
Und damit wird es dann eben bei den wichtigeren Diensten versucht.

Und ehrlichgesagt nutze ich lieber etwas wie KeePass als ein "Fotoalbum" neben dem Rechner liegen zu haben um verschiedene Logins gewährleisten zu können.
 
@Draco2007: Deswegen meine Frage warum nur Bilder. Und dass Gesichtserkennung mit Fotos überlistet werden kann ist mir auch bekannt. Deswegen meine Frage warum man da nicht andere komplexe Dinge nehmen kann, wie Schlüssel. Wenn man 2 Seiten vom Bart zeigen muss sieht es schon schwer aus und warum sollte man seinen z.B. Autoschlüssel bei Fratzenbuch zeigen? Oder davon Überhaupt Fotos machen.
 
@wieselding: Naja selbst wenn man beliebige Objekte nimmt, bleibt das Problem das gleiche.
Entweder nehmen die Leute nur ein einziges Objekt als Login für alles oder man muss ein "Schlüsselbund" mit sich rumschleppen.
In meiner KeePass DB befinden sich 144 Passwörter, wenn ich da für alles ein einzigartiges Objekt nehmen wollte, na dann viel Spass beim Suchen.

Sinnvoller wäre es doch, endlich in die Köpfe der Leute zu bekommen, dass sie ein halbwegs anständiges einzigartiges Passwort für jeden Dienst benutzen sollten.
Ich wüsste nicht was das Objekt-PW für einen Mehrwert bringen soll.
Wie gesagt, die Komplexität der Passwörter ist eigentlich nicht das Problem.
 
@wieselding: Das Problem bei solchen Gegenständen ist halt, dass man die dann auch dabei haben muss. Und welchen Gegenstand schleppt man schon ständig mit sich rum? Und gerade so etwas lässt sich ja total einfach ausspähen: Wenn man immer wieder seine Uhr oder seinen Hausschlüssel fotografiert, weiss jemand anders ganz schnell, dass das wohl der Schlüssel ist. Ziemlich unsicher bei näherer Betrachtung meiner Meinung nach.
 
@dodnet: Genau das ist der Punkt: Personen, die einem näher stehen bekommen so etwas ganz schnell mit und haben dann auch eventuell Zugang zu dem Objekt, um eine Kopie anzufertigen.

Auch, wenn der Täter nicht aus dem Bekanntenkreis kommt, er aber weiß, wonach er suchen muss, dann lässt sich dies durch einen Einbruch bestens regeln - genügend kriminelle Energie natürlich vorausgesetzt.
 
@Draco2007: Also ich hab mich mit der Technik hier nicht genauer beschäftigt, aber ich vermute - ähnlich wie bei gehasten Passwörtern - bringt Dir der Hash erstmal nichts. Durch Rainbow Tables können diese dann natürlich ermittelt werden. Hier bei den Bildern wird dies vermutlich schwerer sein, da zunächst das Bild transformiert werden muss... ob man also mit den "digitalen Fingerabdrücken" so leichtan das Passwort kommt? Und wenn dann alle nach mit einem serverseitigem, individuellen Salt versehen sind, viel Spaß beim knacken. Also hier hinkt der Vergleich etwas. Im Kern stimme ich Dir aber trotzdem zu, dass jeder ein individuelles Passwort zur Erhöhung der Sicherheit haben sollte.
 
@Zeussi: Ja an sich hast du recht, die Hashes der Bilder oder Objekte bringen natürlich praktisch gar nichts, da Rainbow-Tabels vermutlich echt schwer werden.

ABER nur ein einziger Serviceanbieter, der es versäumt zu hashen (oder Salt & Pepper) und das ganze System bricht in sich zusammen.

Denn wie gesagt, das verwenden von solch extrem "starken" Passwörtern (seinen es auswendig gelernte 128 stellige, ein bestimmtes Bild, dass man immer dabei haben muss, oder sonstirgendwas aufwändiges) wird unter Garantie dazu führen, dass der "Trend" hin zu "ein Passwort für alles" nur noch extremer wird.

Und wenn irgendwann praktisch jeder nur noch ein Passwort hat, dann gibt es einen neuen profitablen Angriffsvektor (der heute sicher schon existiert). Man erstellt einfach einen "gefakten" Dienst, der praktisch nur dazu dient an die "Klartext"-Logins zu kommen.

Langer Rede kurzer Sinn, anständige Passwörter (müssen keine 128 Stellen sein ^^) und für wirklich jeden Dienst ein einzigartiges. Dann helfen Rainbow-Tabels nicht mehr viel, Logins abgreifen auch nicht und Brute Force kann man sich sowieso sparen.
 
@wieselding: Aber was ist in diesem Fall der Unterschied dazu, dass ich mir ein kompliziertes Passwort auf einen Zettel schreibe und diesen in meinen Schreibtisch tue?
Ob ich nun ein Bild aus der Schublade hole und in die Kamera halte, oder einen Zettel mit dem Passwort aus der Schublade hole und in die Tastatur tippe, ist von der Sicherheit her vollkommen identisch. Für Malware ist es auch nicht schwerer, das Kamerabild mitzuschneiden statt die Tastatureingabe.
 
@wieselding: bei faceunlook kann man jeden tag neue anlernbilder erstellen, vor dem rasieren, nach dem rasieren, mit vollbart, mit gekämmten haaren oder verwuschelt etc - es wird dann immer besser. ABER was bei faceunlook totaler schwachsinn ist, ist warum die das display nicht hell weiß machen, kaum ist es dunkel erkennt die frontkamera gar nichts mehr, weil das display nicht mal etwas licht spendet.

auch die sache mit dem photo ist halb so schlimm, man kann ja einstellen ob man zB blinzeln muss - dann steht da "blinzel mit dem rechten auge" und erst wenn dies geschieht ist das gerät freigegeben.

(getestet bislang nur auf dem SE Xperia mini pro mit bescheidener frontkamera)
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen