<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Feb 8, 2017 at 12:13 AM, Peter Gutmann <span dir="ltr"><<a href="mailto:pgut001@cs.auckland.ac.nz" target="_blank">pgut001@cs.auckland.ac.nz</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">Bill Cox <<a href="mailto:waywardgeek@gmail.com">waywardgeek@gmail.com</a>> writes:<br><br>
</span>Nope, it doesn't.  We have about fifteen years' worth of both research and<br>
real-world results showing that site images don't work.  It's a great idea,<br>
sure, it's just one that doesn't actually work in practice.<br>
<span class="HOEnZb"><font color="#888888"><br>
Peter.<br>
     </font></span></blockquote></div><br></div><div class="gmail_extra">Can you elaborate a bit on the research?  Did it cover the case where the picture is stored on the client machine and the same picture is shown when logging into for all web sites?</div><div class="gmail_extra"><br></div><div class="gmail_extra">I think a tool like that could be built as a browser plugin, and it could use some simple heuristics like Chrome does when it saves your passwords to figure out when a user is on a login page.</div><div class="gmail_extra"><br></div><div class="gmail_extra">That said, I find most crypto and authentication related ideas are almost always 1) not new 2) already broken, and a frustratingly high portion of the time they are both :-\</div><div class="gmail_extra"><br></div><div class="gmail_extra">Bill</div></div>