В Windows 8 обнаружена серьезная брешь хранения паролей

image

Теги: Windows 8, уязвимость, аутентификация

Администратор Windows 8 может раскрыть пароли остальных пользователей.

Эксперты компании Password Recovery Software (PRS) обнаружили серьезную уязвимость в новых механизмах аутентификации Windows 8. Речь идет о методах аутентификации через фотографии и через PIN. Отметим, что аутентификация с помощью фотографии в Windows 8 позволяет пользователю выбрать любую фотографию, а затем выполнить ряд действий с помощью сенсорной панели, например, провести линию между рукой и носом или сделать петлю между двумя конкретными точками на изображении. Точное повторение этих действий позволяет системе подтвердить личность пользователя.

Проблема этих методов аутентификации заключается в том, что они используют стандартные учетные записи. «Другими словами, пользователь сначала должен создать учетную запись с обычным паролем, а затем, при желании, использовать PIN или аутентификацию через изображение», - отмечают в PRS. При выборе любого из альтернативных методов аутентификации все пароли пользователей шифруются с помощью AES алгоритма и сохраняются в каталоге %SYSTEM_DIR%/config/systemprofile/AppData/Local/Microsoft/Vault/4BF4C442-9B8A-41A0-B380-DD4A704DDB28 в хранилище паролей Windows.

Данная папка содержит идентификаторы безопасности (SID) и текстовые пароли учетных записей. Примечательно, что текстовые пароли не привязаны к PIN и аутентификационным изображением, поэтому любой пользователь с привилегиями администратора может легко получить к нему доступ.

Эксперты отмечают, что функционал хранилища локальных и сетевых паролей, а также SID впервые был реализован в Windows 7. В Windows 8 это хранилище получило новые возможности, потеряв при этом часть старых. Так, Internet Explorer 10 может хранить в нем пароли к web-сайтам, но защищаются это хранилище только с помощью DPAPI.

С уведомлением PRS можно ознакомиться здесь.


или введите имя

CAPTCHA
Страницы: 1  2  
уставший виндузятник
21-09-2012 12:55:30
такое ощущение, что в m$ хотят, чтобы в системе могла авторизоваться даже очумевшая мака, чудом выжившая после бомбежки. даже без очень умных исследований понятно, что безопсность при таком подходе обеспечить ооочень сложно.
0 |
пельмешка
22-09-2012 08:23:57
о ужас, администратор может увидеть пароли и даже изменить их, как теперь жить
0 |
20044
22-09-2012 21:29:20
администратор и пользователь с правами администратор - разные вещи
0 |
:)
21-09-2012 13:51:55
Еще не вышла, а уже решето
0 |
Хвост
21-09-2012 19:09:32
26 октября походу выйдет с встроенным сп3.
0 |
Гость
21-09-2012 20:22:36
Ведь это еще и купят миллионы хомячков.
0 |
20559
24-09-2012 10:19:17
Легко купят да еще и умудрятся порадоваться, как щас w7.
0 |
рос
21-09-2012 19:40:49
желтушный заголовок от разума, на который давит сентябрьская школа. Админ может получить доступ ко всему...только что толку?
0 |
24539
22-09-2012 21:30:40
админ может поменять пароль пользователя, но узнатьпароль пользователя он не должен уметь
0 |
bladegts
21-09-2012 20:07:36
блин ну что постоянно хотят от МС??ну да говяные продуктишки, ну если совсем страшно, вешайте и допиливайте сторонним софтом, уж его то насертифицировали целую тьму, и спи спокойно брат
0 |
Пень
24-09-2012 09:56:35
Правда ваша. Только вокруг одни наркоманы. Как подсадили, так и будут на этом навозе сидеть. Даже лечиться не хотят.
0 |
Страницы: 1  2