Nieuws
image

Windows 8 wachtwoordhints onversleuteld bewaard

donderdag 23 augustus 2012, 12:24 door Redactie, 7 reacties

De wachtwoordhints die gebruikers in Windows 7 en 8 aanmaken en moeten helpen als men het wachtwoord vergeet, worden onversleuteld opgeslagen, waardoor ze eenvoudig zijn te achterhalen. Tijdens onderzoek naar de Security Accounts Manager (SAM) database van Windows 8 ontdekten onderzoekers van Trustwave een nieuwe sleutel genaamd 'UserPasswordHint'.

De SAM database die Windows gebruikt bevat allerlei informatie over gebruikersaccounts. Het wordt als een registerbestand geïmplementeerd, waarbij de sleutels via een hash versleuteld zijn. De sleutel van UserPasswordHint bleek niet versleuteld te zijn. Daardoor is die eenvoudig uit de SAM database te halen.

Metasploit
Inmiddels is er aan hackertoolkit Metasploit een module toegevoegd om het achterhalen van de hints te automatiseren. Voorwaarde voor de aanval is wel dat een aanvaller toegang tot de database heeft. In het geval van Windows XP worden de sleutels op een andere locatie bewaard, maar zijn desondanks toch te achterhalen.

Reacties (7)
23-08-2012, 13:25 door DeliciouslyImperfect
Je kunt deze hint toch altijd te zien krijgen?
23-08-2012, 13:30 door Anoniem
Maar welke andere opties zijn er dan? De hints versleutelen met een wachtwoord? En nog een hint bewaren voor het hintwachtwoord? Nee. Als het OS de hint tevoorschijn kan halen, kan een stukje software van een booswicht het ook. Bovendien, die hints worden getoond als je in wilt loggen, iedereen kan ze al zien! Samenvatting: "Microsoft heeft geen oplossing voor een onoplosbaar probleem".
23-08-2012, 13:37 door Anoniem
Door DeliciouslyImperfect: Je kunt deze hint toch altijd te zien krijgen?
Inderdaad. Heb dit "onderzoek" op verschillende sites langs zien komen, maar snap de nieuws waarde totaal niet. Natuurlijk zijn deze hints niet versleuteld. Het is de bedoeling dat je ze kan bekijken voordat je inlogt, voor mensen die een geheugensteun nodig hebben voor hun wachtwoord. Wat willen ze dan, dat je een wachtwoord nodig hebt voor de wachtwoord hint voor je echte wachtwoord?

Gewoon leeg laten die hint.
23-08-2012, 13:59 door donnerd
Zelfs de wachtwoorden zijn onversleuteld en verwijderbaar.
23-08-2012, 14:20 door Anoniem
De hint is altijd zichtbaar. Gewoon worked as designed. De antwoorden zijn wel versleuteld.
23-08-2012, 18:44 door Anoniem
haha, kwam hierheen om te kijken, ben ik nu zo dom, of wat. die hints laten ze toch gewoon zien na wachtwoord 2 keer verkeerd in te typen, waar is encryptie dan goed voor. gelukkig ben ik niet dom :)
24-08-2012, 10:39 door Anoniem
Het werkt zoals bedoeld echter had MS dit er nooit in moeten stoppen. Hiermee verzwakt men het authenticatie process aanzienlijk. Veel gebruikers gaan er vanuit dat alleen zij de hint kunnen zien en stoppen er dus inderdaad iets in zoals in het screenshot te zien is. Hierdoor heeft een bruteforce aanval een veel grotere kans van slagen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure