Author Topic: Windows 8 เก็บข้อมูลการ Login ด้วย Picture Password เป็น Plain Text (Read 10202 times)

Nick

เรื่อง: ระวังภัย Windows 8 เก็บข้อมูลการ Login ด้วย Picture Password เป็น Plain Text

ประเภทภัยคุกคาม: Intrusion

ข้อมูลทั่วไป

Windows 8 มีความสามารถใหม่ที่เรียกว่า Picture Password ซึ่งเป็นการ Login โดยการแตะรูปภาพในตำแหน่งที่กำหนด [1] ดังรูปที่ 1 ซึ่งผู้ใช้สามารถศึกษาข้อมูลเพิ่มเติมได้จาก วิดีโอของ Microsoft

รูปที่ 1 ระบบ Picture Password (ที่มา Microsoft)

บริษัท Passcape ซึ่งพัฒนาโปรแกรมรักษาความมั่นคงปลอดภัย ได้ค้นพบช่องโหว่ของระบบการ Login ด้วยวิธีดังกล่าว [2] โดยสาเหตุของช่องโหว่ เกิดจากเมื่อผู้ใช้ต้องการใช้งานการ Login แบบ Picture Password จำเป็นต้องสร้าง User Account พร้อมตั้งรหัสผ่านเป็นแบบข้อความธรรมดาก่อน จากนั้นจึงจะสามารถตั้งค่าการ Login ด้วย Picture Password ได้ แต่หลังจากที่ผู้ใช้ตั้งค่าการ Login ด้วย Picture Password แล้ว ระบบจะเก็บรหัสผ่านที่เป็นข้อความธรรมดานั้นโดยใช้การเข้ารหัสลับ (Encrypt) แบบ AES ไว้ใน Windows Vault

Windows Vault เป็นความสามารถที่ถูกพัฒนาขึ้นมาใน Windows 7 มีจุดประสงค์เพื่อใช้สำหรับเก็บชื่อผู้ใช้และรหัสผ่านเพื่อใช้ในการเข้าใช้งานเซิร์ฟเวอร์ เว็บไซต์ หรือโปรแกรมอื่นๆ โดยอัตโนมัติ [3] ดังรูปที่ 2

รูปที่ 2 ระบบ Windows Vault ใน Windows 7

ผลกระทบ

ถึงแม้รหัสผ่านจะถูก Encrypt ไว้ แต่ผู้ใช้ในเครื่องที่มีสิทธิของผู้ดูแลระบบ (Administrator) ก็ยังสามารถเปิดดูรหัสผ่านแบบ Plain Text ของผู้ใช้ในระบบได้ ดังรูปที่ 3 ซึ่งเป็นโปรแกรม Windows Password Recovery ของบริษัท Passcape

รูปที่ 3 โปรแกรม Windows Password Recovery ของบริษัท Passcape (ที่มา Passcape)

ระบบที่ได้รับผลกระทบ

ระบบปฏิบัติการ Windows 8 ที่ใช้การ Login แบบ Picture Passwords

ข้อแนะนำในการป้องกันและแก้ไข

บริษัท Passcape แนะนำว่า ผู้ใช้งาน Windows 8 ไม่ควรตั้งค่าการ Login ด้วย Picture Password จนกว่า Microsoft จะออกแพทช์เพื่อแก้ไขช่องโหว่ดังกล่าว

อ้างอิง

http://blogs.msdn.com/b/b8/archive/2011/12/16/signing-in-with-a-picture-password.aspx
http://www.passcape.com/index.php?section=blog&cmd=details&id=27&setLang=2
http://www.neowin.net/news/main/09/03/07/windows-7-exploring-credential-manager-and-windows-vault

ที่มา: http://www.thaicert.or.th/alerts/admin/2012/al2012ad024.html

Nick Computer Services · « **on:** April 04, 2013, 04:37:00 PM »

ติดต่อลงโฆษณา ads@nickcs.com หรือ โทร. 082-8929299

In a forum (BBCode)	[url=http://board.nickcs.com/index.php?topic=42132.0]Windows 8 เก็บข้อมูลการ Login ด้วย Picture Password เป็น Plain Text[/url]
In a site/blog (HTML)	<a href="http://board.nickcs.com/index.php/topic,42132.0.html">Windows 8 เก็บข้อมูลการ Login ด้วย Picture Password เป็น Plain Text</a>

Subject / Started by	Replies	Last post
วิธีแก้ไขไวรัสที่แอบใส่ password บน Windows Started by Webmaster Technical & Tutorial	0 Replies 6918 Views	February 14, 2009, 08:16:46 PM by Webmaster
การใส่ Head และ Bold Text Started by Nick Knowledge	0 Replies 4887 Views	June 05, 2010, 06:02:35 PM by Nick
Recover a Local User Account Password Windows 7 Started by Nick Technical & Tutorial	0 Replies 5350 Views	June 16, 2010, 06:10:44 PM by Nick
How to Reset Windows Server 2008 Password Started by Nick Technical & Tutorial	0 Replies 8449 Views	August 28, 2010, 12:59:51 AM by Nick
Disable or Password Protect Applications in Windows using AppAdmin Started by Nick Technical & Tutorial	0 Replies 4980 Views	December 02, 2010, 12:58:24 AM by Nick
Search Text inside Any File Started by Nick Technical & Tutorial	0 Replies 5850 Views	December 02, 2010, 02:58:12 AM by Nick
Sony Picture จ้าง “The Woz” นั่งแท่นที่ปรึกษาหนังเรื่อง Steve Jobs Started by Nick IT News	0 Replies 3257 Views	May 20, 2012, 09:50:56 AM by Nick
A One Gigapixel Camera - How Good is the Picture? Started by Nick Video & Clip Post	0 Replies 4164 Views	June 26, 2012, 03:40:51 AM by Nick
Dconcept White Login Skin Booster (บูสเตอร์ผิวขาวใส) ผิวเนียนเรียบ ไม่หยาบกร้าน กระชับรูขุมขน Started by monapan478 « 1 2 ... 10 11 » Others	162 Replies 18909 Views	February 09, 2018, 10:28:25 AM by monapan478
Facebook เปลี่ยนนโยบายใหม่ Facebook Login ผู้ใช้ต้องยืนยันการใช้งานทุก 90 วัน Started by Nick IT News	0 Replies 15697 Views	April 11, 2018, 03:49:21 PM by Nick

Windows 8 เก็บข้อมูลการ Login ด้วย Picture Password เป็น Plain Text