Stručnjaci kompanije Passcape Software koja se bavi izradom softvera za povrat izgubljenih passworda, otkrili su da Windows 8 skladišti passworde naloga u običan (plain) tekst svaki put kada se korisnik prebacuje na slikovni password ili bezbednosni PIN.
"Stvar je u tome da se te dve metode autentifikacije baziraju na običnom korisničkom nalogu. Drugim rečima, korisnik prvo mora da kreira račun sa običnim passwordom i tada ima opciju da se prebaci na PIN ili slikovnu autentifikaciju. Razvidno je da originalni pasword u običnom tekstu ostaje u sistemu", piše i blogu Passcapea.
Passwordi se naravno mogu dekriptovati, a Passcape kaže kako već postoje softverska rešenja kreirana upravo za takve stvari.
"Jednom kada se korisnik prebaci na novu metodu autentifikacije, njegov tekstualni password je enkriptovan korišćenjem AES algoritma i skladišten u zaštićeni prostor za skladištenje u direktorijumu: %SYSTEM_DIR%/config/systemprofile/AppData/Local/Microsoft/Vault/4BF4C442-9B8A-41A0-B380-DD4A704DDB28", objašnjava Passcode.
"Tekstualni password nije vezan uz PIN ili slikovni password, pa ga stoga svaki korisnik računara sa administratorskim privilegijama može jednostavno povratiti (enkripcioni ključ je zaštićen sistemom DPAPI)".
Microsoft se za sada još nije oglasio komentarom u vezi ovog slučaja, ali bitće jako zanimljivo čuti njihovo objašnjenje.
Otkriven prvi kritični bezbednosni problem u Windows-u 8
13:37
3 komentara
Već. :)
Nista bolje nismo ni ocekivali od Microshit-a
LINUX FOREVER !!!