Czy zapisane poświadczenia pulpitu zdalnego są bezpieczne na komputerze lokalnym?

23

Czy zapisane poświadczenia pulpitu zdalnego są bezpieczne (luźno mówiąc) na komputerze lokalnym? Nie są one nigdzie przechowywane jako czysty tekst, prawda?

Edycja: Rozumiem nieodłączne ryzyko związane z zapisywaniem haseł. Z pewnością istnieje szereg skuteczności, na przykład zapisanie hasła za pomocą czegoś takiego CryptProtectData( co Google Chrome używa w systemie Win32 ) jest oczywiście lepsze niż zapisanie hasła w postaci zwykłego tekstu.

windows-7 security remote-desktop passwords DuckMaestro
źródło

Odpowiedzi:

19

Starsze wersje klienta pulpitu zdalnego przechowują hasło w .rdppliku, które można łatwo odszyfrować.

Począwszy od klienta usług pulpitu zdalnego w wersji 6, poświadczenia są przechowywane przy użyciu interfejsu API poświadczeń systemu Windows. Hasła są bezpiecznie szyfrowane przy użyciu klucza powiązanego z kontem użytkownika systemu Windows ( CryptProtectDatazgodnie z opisem w artykule SecurityXploded @StackExchanger połączonym z), a dostęp do nich wymaga hasła systemu Windows (lub dysku „odzyskiwania hasła”). Można je odczytać za pomocą dowolnego uruchomionego programu, takiego jak NetPass .

Pamiętaj, że jeśli ktoś ma fizyczny dostęp, może złamać hasło przy użyciu czegoś takiego jak Ophcrack lub zainstalować keylogger.

grawitacja
źródło
3

Według securityxploded.com hasła można łatwo odzyskać z przechowywanych poświadczeń dla sesji RDP.

Być może lepszym rozwiązaniem jest użycie bezpiecznego hasła, takiego jak KeePass, do przechowywania poświadczeń w celu zautomatyzowania procesu logowania RDP.

StackExchanger
źródło
2
Artykuł „odzyskuje” poświadczenia za pomocą CryptUnprotectData, które AFAIK wymaga, aby użytkownik był zalogowany przy użyciu swojego hasła?
grawity
Tak, w zasadzie korzystaj z najlepszych praktyk dotyczących haseł w systemie Windows. Używanie hasła> 14 znaków, aby na przykład zapobiec przechowywaniu hasła starszego typu. Hasła są dobrymi opcjami.
Shiv
1

Zadajesz złe pytanie, IMHO. Jeśli ktoś włamie się na twój komputer i znajdzie plik RDP, który pozwala mu połączyć się ze zdalnym komputerem bez podania hasła, szkoda jest już wyrządzona. Mógł także wykorzystać zdalną sesję do stworzenia nowego użytkownika dla siebie, a nawet zmienić hasło do bieżącego.

Rozwiązaniem jest, aby nigdy nie zapisywać haseł w pliku RDP i chronić komputer lokalny. Aha, i w oparciu o wcześniejsze doświadczenia z oprogramowaniem MS, nie byłbym całkowicie zaskoczony, gdyby trzymał hasło w postaci zwykłego tekstu lub gdzieś lekko zaszyfrowane. Zobacz, jak traktują hasła do sieci Wi-Fi w systemie Windows 7.

Podróżujący facet techniczny
źródło
Dzięki za odpowiedź i ważne punkty. Zaktualizowałem moje pytanie, aby wyjaśnić kąt, z którego się zbliżam.
DuckMaestro
3
Windows 7 nie przechowuje żadnych haseł w pliku RDP, a ich haszowanie po prostu nie ma sensu (musi być możliwe do odszyfrowania podczas uwierzytelniania). Utworzenie nowego użytkownika zwykle wymaga uprawnień administratora, zmiany istniejącego hasła - znajomości starego.
grawity
1
Jeśli alternatywą jest przechowywanie hasła w menedżerze kluczy, czy ma to jakiekolwiek znaczenie, czy jest przechowywane w RDP, gdy ktoś ma lokalny dostęp do komputera? Zapamiętywanie tych haseł po prostu nie jest rozsądną opcją.
Joel McBeth