Prolomení hesla do Windows za pár vteřin
Předesílám, že v tomto směru jsem pouze laik, tak se nesmějte.
Zaujal mě článek na živě, který tvrdí, že odstranění hesla při přihlašování do Windows je záležitost na pár vteřin.
To je to opravdu tak snadné?
Co musí paranoidní uživatel dělat, aby mu někdo nemohl ukrást citlivá data? Šifrovat si svou složku v "Users" (případně v "Documents and Settings")? Co se stane po přeinstalaci windows - budou tato data ztracená i v případě, že znám původní jméno uživatele a heslo, které jeho účet měl?
Díky.
- šifrování složky ti nepomůže, protože admin má právo dekryptovat data jiných userů
- jediná obrana je nedovolit útočníkovi dostat se k SAM offline, tj. funguje např. šifrování disku, ať už SW (truecrypt) nebo HW (na úrovni firmware HDD)
Ten článek zmiňuje ale ne zjištění, ale změnu hesla admina, to je něco jiného.
Takže truecrypt je neučínný? Jen se ptám ze zvědavosti.
Takže TrueCrypt je VRCHOLNĚ ÚČINNÝ. Nemá s heslem do Windows co dělat a pokud vím, tak bez předhození platného hesla se nelze k obsahu dostat. Stejně tak je účinný i WinRAR a 7Zip. Jsou sice metody, jak se ke správnému heslu dostat (prostě se zkouší všechny možné kombinace, někdy se napřed použijí slovníky, tj. seznamy pravděpodobných hesel), ale to je velmi, velmi zdlouhavé.
proč by měl být neúčinný? Není na heslech do Windows (obecně) závislý.
Jasně heslo do winu a šifrovaní obsahu sou rozdílné věci. Jen mě zajímá kdo má praktické zkušenosti z truecrypt. Nějak to nepouživám ale třeba bych chtěl hodit nějake věci třeba na wedos disk tal nevím jestli je to šifrovaní dostatečné. Jasně budete namítat, že toto se nedava na cloud. Ale jinou možnost nemam.
nerozumím. Proč dávat TC šifrovaná data na nějaký hosting? Co je důvodem takového nesmyslného počínání?
Potřebuju zalohovat nějaké věci a vypalovačka mi nejde a exterrní hdd nemam. Proto to musím dat jinam.
USB flaška na zálohy stojí pár korun. Opravdu, TOHLE nepochopím.
jo zalohuj cca 100gb dat a to jen to nejnutnější jasně flešk mam dost ale ne tolik.
100gb na cloud? jakou máš rychlost přenosu a kolik platíš?
snad vytáhnu ze šuplíku/od souseda starší neyužitý disk, připojím na druhý kabel, zazálohuju, popíšu fixem a strčím do skříně.
já si na to kdysi koupil samsung s1 (1.8" usb disk).
Mazec.
Není to "tak trochu" bezpečnostní díra, se kterou by MS měl něco dělat? Já vím, řečnická otázka...
Ostatní systémy (Linux atd.) jsou na tom taky tak chatrně a nebo je to specialita Windows?
jaký mazec?
Vždyť takto fungují VŠECHNY systémy do jednoho (včetně unixu/Linuxu, MacOS atd. edit: včetně částečně CiscoIOS, a to je teprve ten správný mazec, když není korektně zebazpečena sériová konzole routeru nebo switche!). Pokud se dostaneš k souboru databáze hesel offline, nic ti nebrání jej modifikovat. Jak Linux, tak Windows mají tyto databáze prolomitelné (viz Jacktheripper), správně by se ale útočník k nim neměl nikdy dostat.
BTW: Proč myslíš, že je v každé serverovně takový důraz na fyzickou bezpečnost? Protože fyzická bezpečnost (tj. to, že útočník se nemůže dostat ke konzoli a ani nabootovat svá média, natož si odnést HDD) je základní předpoklad dalších vrstev zabezpečení v OS. Všechno souvisí se vším a vyšší vrstvy musí mít velmi dobrý základ v těch nižších.
To je právě to, co jsem si myslel, že je nějak líp hlídáno - že systém pozná, že byl ten soubor změněn softwarem třetí strany a zablokuje nebo i znehodnotí všechna data uživatelským účtem chráněná.
Jak to udělat v praxi nevím, nejsem bezpečnostní specialista... spočítat si hash té databáze hesel, enkryptovaně si jej uložit a vždy porovnávat skutečnost a tento záznam? Já vím, že podvrhnout se dá všechno...
Teoeticky jakékoliv lokální účty chráněné heslem tedy pozbývají smysl (bavíme-li se o ochraně dat proti zneužití např. při krádeži PC) a opravdu citlivá data je lépe hrnout do truecrypt kontejneru.
Za prve ako uz napisal vyssie tw, toto nie je ziadna zranitelnost Win8, toto je vseobecna vlastnost kazdeho systemu. V linuxe pokial mam fyzicky pristup ku stroju mam admin pristup za par minut tiez a uz som to neraz vyuzil na routroch, kde som zabudol root heslo;o).
V clanku sa nespomina ako sa domnieval tw moznost heslo desifrovat, jedna sa len o klasicke vymazanie admin hesla, takze system sa javi ako nezaheslovany.
Uz sme to tu rozoberali viackrat, naburat sa do win masiny je mozno 2 sposobmi. Prvy je vymazanie hesla, ktory je ako z clanku vypliva pomerne jednoduchy, ale takto sa ako utocnik prezradis. Druha moznost je skopirovanie sam files, kde su hesla ulozene a nasledny bruteforce attack. Tam je vsak smola, ze pri dnesnych vypoctovych vykonoch sa da pouzit na cca 7-8 miestne alfanumericke heslo. Pouzitim rainbow tables sice mozno zvysis na mozno 10 znakov, nicmenej 10 znakove alfanumericke rainbow tables neviem, ci su vobec k dispozicii a ich velkost by bola...ani netusim aka by bola, posledne, co som videl na nete mali cca 50GB (uz si nepamatam co vsetko obsahovali).
Sifrovanie celeho disku je blbost. Svoje sukromne porno a ine citlive veci si skladuj v TC kontajnery, pretoze uz kopec nadsencov mali VSETKY data na kryptovanom disku a potom vyplakavali na nete, ze o ne prisli (obnova dat z poskodeneho sifrovaneho disku je takmer nemozna). Pri 10 rocnom pouzivani TC som zatial neprisiel o nic, nicmenej uchovavam tam len naozaj veci, ktore nechcem, aby ktokolvek videl a nic viac (cize takmer nic).
Po preinstalacii win su sifrovane data stratene pokial si si neuchoval sifrovaci kluc, ktory ti system ponukne na ulozenie pri vytvarani sifrovania oddielu (meno a heslo vobec npotrebujes, dolezity je ten kluc).
technická:
změna na "null" je taky změna
"pokial mam fyzicky pristup ku stroju mam admin pristup za par minut tiez a uz som to neraz vyuzil na routroch, kde som zabudol root heslo;o)" reset routeru nema s hackem nic spolecneho
A hodnota tejto informacie je...? Alebo si mal len nevysvetlitelne nutkanie vyjadrit sa k mojmu prispevku?
v článku opravdu řeší jen odstraňování hesla, a to je věc která se řeší běžně - po obnově systému ze staré zálohy má neznámé heslo, z ciziny ti transferují mašiny s jejich heslem, dítě cosi omylem zaheslovalo ...
proto mívají firemní notebuky možnost šifrování disků, taky proto od visty existuje možnost vytvořit samostatný boot oddílek.
po přeinstalaci windows: pokud jsi měl zálohovanou šifrovanou složku a novou instalací jsi změnil pid uživatele (stejné jméno a heslo není stejný pid), bez vyexportovaného šifrovacího klíče ses k datům nedostal.
v tomto případě by bylo lepší dělat zálohu v běžícím systému, a archív zararovat s heslem.