В биометрических решениях Authentec подтверждено наличие уязвимости

image

Теги: UPEK, пароль

Независимые исследователи подтвердили, что наличие UPEK на системе угрожает безопасности паролей пользователей.

Как передает Arc Technica, двое независимых экспертов по информационной безопасности подтвердили наличие серьезной уязвимости в реализации системы биометрической аутентификации UPEK от Authentec. Пользователи устройств от Dell, Acer и еще дюжины других производителей, которые содержат сканеры отпечатков пальцев, могут оказаться жертвами утечки паролей.

Решение UPEK длительное время считалось безопасным способом авторизации в операционной системе Windows с помощью отпечатков пальцев. В прошлом месяце российская компания Elcomsoft, заявила, что наличие UPEK уменьшает безопасность системы, так как оно небезопасно хранит пароли пользователей.

Пароли шифруются с помощью криптографического ключа, который относительно легко получить. Имея в распоряжении криптографический ключ хакеру нужно всего несколько секунд для того, чтобы раскрыть пароли пользователей, которые авторизовались на системе, как локальных, так и сетевых.

Независимые ИБ эксперты проверили заявления Elcomsoft и выпустили инструменты для автоматической эксплуатации уязвимости.

Зашифрованные с помощью ненадежного криптографического ключа пароли находятся в системном реестре в HKEY_LOCAL_MACHINE\Software\Virtual Token\Passport\. Представленные исследователями инструменты предназначены для пентестеров, которые смогут проверить систему на наличие уязвимостей.

«С точки зрения теста на проникновение, для получения необходимых значений ключа реестра необходимо наличие привилегий локального администратора, поэтому уязвимость важна только в том случае, если вы контролируете ПК, - заявил один из независимых консультантов Брендон Уильсон (Brandon Wilson). – Но так как большое количество этих устройств используется в корпоративной среде, можно легко получить учетные данные в домене, после чего осуществить атаку на другие системы».

При отсутствии UPEK Protector Suite операционная система хранит пароли в реестре только если пользователи используют функционал автоматической авторизации. Если на системе присутствует UPEK Protector Suite, но при этом пользователь отключает в нем функционал авторизации, пароль все равно остается в реестре. Если из приложения удаляется «паспорт» пользователя, вместе с ним из реестра удаляется и пароль. Также во время деинсталляции приложения присутствует опция сохранения «паспорта», при использовании которой пароль пользователя сохраняется в реестре.


или введите имя

CAPTCHA
Полковник Лиманов
10-10-2012 14:16:35
Тут на лицо классическая проблема современных решений криптографии - Либо продукт быстро работает но слабо защищен, либо он сильно защищен, но авторизация будет проходить очень долго. В authentec просто пошли по более приятному для хомячку пути.
0 |
Павел
11-10-2012 01:05:50
По-моему, Вы, либо специально пытаетесь подстроить ситуацию под своё мышление, либо неумышленно ошибаетесь. В данном случае, впрочем, как и во множестве других, проблема не в том, что во время авторизации у клиента пенсия наступит, а в том, что до работы с криптографией допускают безответственных дилетантов.
0 |