Почтовые клиенты вроде Microsoft Outlook или Mozilla Thunderbird часто хранят пароли к почтовым ящикам в локальных конфигурационных файлах. Это удобно: не нужно вводить пароль каждый раз, когда вы проверяете почту. Но это и риск: если кто-то получит доступ к вашему компьютеру — или просто к вашему профилю — он может попытаться эти пароли извлечь.
Однако такие утилиты используются не только злоумышленниками. Сценарии бывают разные:
- Системный администратор восстанавливает доступ к рабочей почте сотрудника, который уволился и не оставил пароль.
- Человек забыл пароль, а в почтовом клиенте он всё ещё сохранён.
- Форензика или аудит информационной безопасности: проверка того, какие данные можно извлечь из системы в случае компрометации.
Разберём, как это работает и какие утилиты существуют.
Как хранятся пароли в почтовых клиентах?
Прежде чем говорить о «подборе» — точнее, извлечении — паролей, важно понимать, как они хранятся:
- Outlook: может использовать Credential Manager Windows или шифровать пароли в профиле Windows. Старые версии Outlook (до 2016) часто сохраняли пароли в реестре или .pst-файлах без надёжной защиты.
- Thunderbird: хранит пароли в SQLite-базе `logins.json`, защищённой мастер-паролем. Если мастер-пароль не установлен — всё можно извлечь в открытом виде.
Иными словами, многое зависит от версии программы, настроек безопасности и операционной системы.
Самые известные программы для извлечения паролей
Существует целый рынок (легальный и не очень) программ, способных «вспомнить» за пользователя забытый пароль. Вот наиболее популярные инструменты.
Mail PassView (NirSoft)
Одна из самых известных утилит от NirSoft , работает почти мгновенно.
- Поддерживает: Outlook Express, Windows Mail, Windows Live Mail, Thunderbird, IncrediMail, Eudora и другие.
- Не требует установки, весит менее 100 КБ.
- Отображает логины, серверы, порты и пароли в открытом виде.
- Может быть заблокирован антивирусами (false positive).
Программа бесплатная, но требует запуска с правами администратора.
Firefox Decrypt
Утилита с открытым исходным кодом, позволяющая извлечь сохранённые логины из профиля Thunderbird.
- Работает с `logins.json` и `key4.db` (файл с мастер-ключом).
- Если мастер-пароль не установлен, все пароли извлекаются открыто.
- Если установлен — потребуется знание мастер-пароля (или брутфорс).
Доступна на GitHub, кроссплатформенная (Python).
Passware Kit Forensic
Мощный коммерческий инструмент, предназначенный для специалистов по кибербезопасности и судебной экспертизе.
- Извлекает пароли из более чем 350 программ, включая Outlook и Thunderbird.
- Поддерживает GPU-ускорение при атаке перебором.
- Стоимость — от $995 за лицензию.
Используется правоохранительными органами, в корпоративных расследованиях, но не для «домашнего» восстановления.
Advanced Outlook Password Recovery (Elcomsoft)
Специализированная утилита от Elcomsoft , одной из самых известных российских компаний в сфере восстановления данных.
- Поддерживает .pst-файлы и учетные данные Outlook в Windows.
- Может восстанавливать утерянные мастер-пароли или обходить их.
- Есть версия для судебной экспертизы (Forensic Edition).
Коммерческий продукт, но есть демо-режим.
Windows Credential Manager
Диспетчер учётных данных Windows (Windows Credential Manager) — это встроенный инструмент, который позволяет операционной системе сохранять логины, пароли и другие авторизационные данные для различных служб: сайтов, приложений, сетевых ресурсов и почтовых клиентов, таких как Outlook.
Учётные данные могут быть следующих типов:
- Учетные данные Windows — для входа в сетевые компьютеры, общие папки и службы.
- Учетные данные сертификатов — например, для VPN или смарт-карт.
- Общие учетные данные — используются приложениями, в том числе Outlook, для хранения паролей к почтовым серверам.
Все эти данные хранятся локально и могут быть защищены системой шифрования Windows (DPAPI). Однако при наличии прав администратора и локального доступа — они доступны для просмотра и экспорта, включая с помощью командной строки.
vaultcmd.exe — командная утилита управления хранилищем
vaultcmd.exe — это консольная утилита, которая позволяет просматривать и управлять содержимым хранилища учётных данных (vault) из командной строки. Она входит в состав Windows и особенно полезна в сценариях автоматизации и диагностики.
Основные команды:
vaultcmd /list — список всех доступных хранилищ vaultcmd /listcreds:"Хранилище" — список всех учётных данных в заданном хранилище vaultcmd /delete:"ID" — удаление конкретной записи vaultcmd /add:"Имя" — добавление новой учётной записи
Пример использования:
vaultcmd /list vaultcmd /listcreds:"Windows Credentials"
Следует помнить, что vaultcmd не позволяет напрямую отображать пароли в открытом виде — для этого нужны сторонние инструменты (например, Mimikatz ), которые используют уязвимости или внутренние API Windows для расшифровки содержимого хранилища.
Тем не менее, сам факт наличия учётных данных в системе может быть установлен через vaultcmd, что уже является важной частью информационной разведки при анализе скомпрометированной системы.
Важно: в новых версиях Windows утилита vaultcmd считается устаревшей. Вместо неё Microsoft рекомендует использовать PowerShell и Credential Manager API.
Легальность и этические вопросы
Важно понимать, что использование таких утилит без согласия владельца данных — незаконно. Даже если речь идёт о восстановлении доступа в организации, нужно иметь либо письменное разрешение, либо действовать в рамках служебных полномочий (например, ИТ-отдел).
В России, как и в большинстве стран, несанкционированный доступ к информации на чужом компьютере — уголовное преступление. А вот восстановление собственных паролей — вполне легально.
Сторонники информационной безопасности используют эти инструменты в рамках аудитов: чтобы продемонстрировать, как легко могут быть извлечены данные, если нет базовой защиты — шифрования профиля, мастер-пароля, двухфакторной аутентификации.
Как защититься от извлечения паролей?
Если вы не хотите, чтобы кто-то получил доступ к вашей почте через такие утилиты, вот несколько советов:
- Используйте мастер-пароль в Thunderbird.
- Шифруйте профиль пользователя Windows (например, с помощью BitLocker).
- Отключите сохранение паролей в почтовом клиенте (в пользу менеджеров паролей).
- Настройте двухфакторную аутентификацию для учётной записи почты.
- Следите за физическим доступом к своему устройству и включайте автозапирание экрана.
Выводы
Программы для восстановления паролей из почтовых клиентов — это палка о двух концах. Они могут выручить в сложной ситуации, а могут стать инструментом компрометации данных. Всё зависит от контекста использования.
Если вы работаете с корпоративными машинами, проводите пентест или форензику — такие инструменты вам пригодятся. Но в обычной жизни лучше сосредоточиться не на их использовании, а на защите от них.
Если вы забыли пароль — начните с Mail PassView. Если вы работаете в ИБ — посмотрите в сторону Passware и Elcomsoft. И не забывайте: пароль, записанный на бумажке и лежащий под клавиатурой, всё ещё хуже, чем утечка из Thunderbird.
