Заказать счет на подписку у менеджера
Реклама. ООО Модус. ИНН7726691417. erid:2VtzqxTDanU

В Windows 8 обнаружена серьезная брешь хранения паролей

24 сентября 2012

Администратор Windows 8 может раскрыть пароли остальных пользователей.

Эксперты компании Password Recovery Software (PRS) обнаружили серьезную уязвимость в новых механизмах аутентификации Windows 8. Речь идет о методах аутентификации через фотографии и через PIN. Отметим, что аутентификация с помощью фотографии в Windows 8 позволяет пользователю выбрать любую фотографию, а затем выполнить ряд действий с помощью сенсорной панели, например, провести линию между рукой и носом или сделать петлю между двумя конкретными точками на изображении. Точное повторение этих действий позволяет системе подтвердить личность пользователя.

Проблема этих методов аутентификации заключается в том, что они используют стандартные учетные записи. «Другими словами, пользователь сначала должен создать учетную запись с обычным паролем, а затем, при желании, использовать PIN или аутентификацию через изображение», - отмечают в PRS. При выборе любого из альтернативных методов аутентификации все пароли пользователей шифруются с помощью AES алгоритма и сохраняются в каталоге %SYSTEM_DIR%/config/systemprofile/AppData/Local/Microsoft/Vault/4BF4C442-9B8A-41A0-B380-DD4A704DDB28 в хранилище паролей Windows.

Данная папка содержит идентификаторы безопасности (SID) и текстовые пароли учетных записей. Примечательно, что текстовые пароли не привязаны к PIN и аутентификационным изображением, поэтому любой пользователь с привилегиями администратора может легко получить к нему доступ.

Эксперты отмечают, что функционал хранилища локальных и сетевых паролей, а также SID впервые был реализован в Windows 7. В Windows 8 это хранилище получило новые возможности, потеряв при этом часть старых. Так, Internet Explorer 10 может хранить в нем пароли к web-сайтам, но защищаются это хранилище только с помощью DPAPI.

Источник новости: securitylab.ru






Для того, чтобы добавить новость,
вам необходимо или зарегистрироваться


Статьи журнала "Директор по безопасности"

Классификация и внутренняя квалификация фактов хищений на торговом предприятииКлассификация и внутренняя квалификация фактов хищений на торговом предприятии
Минимизация потерь торгового предприятия – одна из основных задач, стоящих перед службой безоп...
Комплексное снижение хищений в компании
Главными условиями результативности такой программы являются комплексность и всеобъемлющий охват все...
Проверка актива  перед покупкойПроверка актива перед покупкой
Это выражается либо в форме покупки целого предприятия как имущественного комплекса, включающего в с...
Выявление тайных лидеров в коллективе. Как использовать их в «мирных» целях?Выявление тайных лидеров в коллективе. Как использовать их в «мирных» целях?
Не стоит недооценивать проблему. Несовпадение назначенных и фактических руководителей редко заканчив...
Все статьи

Журнал

В следующем номере

  • Большая политика и лидерство в компании
  • Мошенничество при инвестициях
  • Риски при выборе поставщиков логистических услуг
  • Читать полностью

Контакты

Прямая линия рекламной службы:
+7 (499) 267-40-10, доб. 206
e-mail: reklama@s-director.ru

Отдел подписки:
+7 (499) 267-40-10
e-mail: podpiska@s-director.ru

Редакция: +7 (499) 267-40-10
e-mail: info@s-director.ru

Недостаточно средств

Пополнить счет

Если Вы является подписчиком годовой электронной копии журнала, то Вам не нужно покупать статьи в журналах подписного периода.
Доступ к ним осуществляется в Личном кабинете в разделе «Электронные копии статей».
Логин или E-mail
Пароль (Забыли пароль?)
Запомнить
Если Вы ещё не зарегистрированы в системе, Вам необходимо зарегистрироваться
Введите e-Mail:
Выкладка журнала "Директор по безопасности"
Mon, 13 Oct 2025 15:13:15