Author Topic: Windows 8 เก็บข้อมูลการ Login ด้วย Picture Password เป็น Plain Text  (Read 5416 times)

0 Members and 2 Guests are viewing this topic.

Offline Nick

  • Administrator
  • Platinum Member
  • *
  • Posts: 46028
  • Karma: +1000/-0
  • Gender: Male
  • NickCS
    • http://www.facebook.com/nickcomputerservices
    • http://www.twitter.com/nickcomputer
    • Computer Chiangmai

เรื่อง: ระวังภัย Windows 8 เก็บข้อมูลการ Login ด้วย Picture Password เป็น Plain Text

ประเภทภัยคุกคาม: Intrusion

ข้อมูลทั่วไป

Windows 8 มีความสามารถใหม่ที่เรียกว่า Picture Password ซึ่งเป็นการ Login โดยการแตะรูปภาพในตำแหน่งที่กำหนด [1] ดังรูปที่ 1 ซึ่งผู้ใช้สามารถศึกษาข้อมูลเพิ่มเติมได้จาก วิดีโอของ Microsoft


รูปที่ 1 ระบบ Picture Password (ที่มา Microsoft)

บริษัท Passcape ซึ่งพัฒนาโปรแกรมรักษาความมั่นคงปลอดภัย ได้ค้นพบช่องโหว่ของระบบการ Login ด้วยวิธีดังกล่าว [2] โดยสาเหตุของช่องโหว่ เกิดจากเมื่อผู้ใช้ต้องการใช้งานการ Login แบบ Picture Password จำเป็นต้องสร้าง User Account พร้อมตั้งรหัสผ่านเป็นแบบข้อความธรรมดาก่อน จากนั้นจึงจะสามารถตั้งค่าการ Login ด้วย Picture Password ได้ แต่หลังจากที่ผู้ใช้ตั้งค่าการ Login ด้วย Picture Password แล้ว ระบบจะเก็บรหัสผ่านที่เป็นข้อความธรรมดานั้นโดยใช้การเข้ารหัสลับ (Encrypt) แบบ AES ไว้ใน Windows Vault

Windows Vault เป็นความสามารถที่ถูกพัฒนาขึ้นมาใน Windows 7 มีจุดประสงค์เพื่อใช้สำหรับเก็บชื่อผู้ใช้และรหัสผ่านเพื่อใช้ในการเข้าใช้งานเซิร์ฟเวอร์ เว็บไซต์ หรือโปรแกรมอื่นๆ โดยอัตโนมัติ [3] ดังรูปที่ 2


รูปที่ 2 ระบบ Windows Vault ใน Windows 7

ผลกระทบ

ถึงแม้รหัสผ่านจะถูก Encrypt ไว้ แต่ผู้ใช้ในเครื่องที่มีสิทธิของผู้ดูแลระบบ (Administrator) ก็ยังสามารถเปิดดูรหัสผ่านแบบ Plain Text ของผู้ใช้ในระบบได้ ดังรูปที่ 3 ซึ่งเป็นโปรแกรม Windows Password Recovery ของบริษัท Passcape


รูปที่ 3 โปรแกรม Windows Password Recovery ของบริษัท Passcape (ที่มา Passcape)

ระบบที่ได้รับผลกระทบ

ระบบปฏิบัติการ Windows 8 ที่ใช้การ Login แบบ Picture Passwords

ข้อแนะนำในการป้องกันและแก้ไข

บริษัท Passcape แนะนำว่า ผู้ใช้งาน Windows 8 ไม่ควรตั้งค่าการ Login ด้วย Picture Password จนกว่า Microsoft จะออกแพทช์เพื่อแก้ไขช่องโหว่ดังกล่าว

อ้างอิง

http://blogs.msdn.com/b/b8/archive/2011/12/16/signing-in-with-a-picture-password.aspx
http://www.passcape.com/index.php?section=blog&cmd=details&id=27&setLang=2
http://www.neowin.net/news/main/09/03/07/windows-7-exploring-credential-manager-and-windows-vault

ที่มา: http://www.thaicert.or.th/alerts/admin/2012/al2012ad024.html


 
Share this topic...
In a forum
(BBCode)
In a site/blog
(HTML)


Related Topics

  Subject / Started by Replies Last post
0 Replies
4906 Views
Last post February 14, 2009, 08:16:46 PM
by Webmaster
0 Replies
3102 Views
Last post June 05, 2010, 06:02:35 PM
by Nick
0 Replies
3928 Views
Last post June 16, 2010, 06:10:44 PM
by Nick
0 Replies
6373 Views
Last post August 28, 2010, 12:59:51 AM
by Nick
0 Replies
3543 Views
Last post December 02, 2010, 12:58:24 AM
by Nick
0 Replies
4288 Views
Last post December 02, 2010, 02:58:12 AM
by Nick
0 Replies
1878 Views
Last post May 20, 2012, 09:50:56 AM
by Nick
0 Replies
2714 Views
Last post June 26, 2012, 03:40:51 AM
by Nick
162 Replies
6814 Views
Last post February 09, 2018, 10:28:25 AM
by monapan478
0 Replies
10929 Views
Last post April 11, 2018, 03:49:21 PM
by Nick