« previous next »
Pages: [1]   Go Down

Author Topic: Windows 8 เก็บข้อมูลการ Login ด้วย Picture Password เป็น Plain Text  (Read 5871 times)

0 Members and 1 Guest are viewing this topic.

Windows 8 เก็บข้อมูลการ Login ด้วย Picture Password เป็น Plain Text
« on: April 04, 2013, 04:37:00 PM »

Offline Nick

  • Administrator
  • Platinum Member
  • *
  • Posts: 46028
  • Karma: +1000/-0
  • Gender: Male
  • NickCS
    • http://www.facebook.com/nickcomputerservices
    • http://www.twitter.com/nickcomputer
    • Computer Chiangmai
เรื่อง: ระวังภัย Windows 8 เก็บข้อมูลการ Login ด้วย Picture Password เป็น Plain Text

ประเภทภัยคุกคาม: Intrusion

ข้อมูลทั่วไป

Windows 8 มีความสามารถใหม่ที่เรียกว่า Picture Password ซึ่งเป็นการ Login โดยการแตะรูปภาพในตำแหน่งที่กำหนด [1] ดังรูปที่ 1 ซึ่งผู้ใช้สามารถศึกษาข้อมูลเพิ่มเติมได้จาก วิดีโอของ Microsoft


รูปที่ 1 ระบบ Picture Password (ที่มา Microsoft)

บริษัท Passcape ซึ่งพัฒนาโปรแกรมรักษาความมั่นคงปลอดภัย ได้ค้นพบช่องโหว่ของระบบการ Login ด้วยวิธีดังกล่าว [2] โดยสาเหตุของช่องโหว่ เกิดจากเมื่อผู้ใช้ต้องการใช้งานการ Login แบบ Picture Password จำเป็นต้องสร้าง User Account พร้อมตั้งรหัสผ่านเป็นแบบข้อความธรรมดาก่อน จากนั้นจึงจะสามารถตั้งค่าการ Login ด้วย Picture Password ได้ แต่หลังจากที่ผู้ใช้ตั้งค่าการ Login ด้วย Picture Password แล้ว ระบบจะเก็บรหัสผ่านที่เป็นข้อความธรรมดานั้นโดยใช้การเข้ารหัสลับ (Encrypt) แบบ AES ไว้ใน Windows Vault

Windows Vault เป็นความสามารถที่ถูกพัฒนาขึ้นมาใน Windows 7 มีจุดประสงค์เพื่อใช้สำหรับเก็บชื่อผู้ใช้และรหัสผ่านเพื่อใช้ในการเข้าใช้งานเซิร์ฟเวอร์ เว็บไซต์ หรือโปรแกรมอื่นๆ โดยอัตโนมัติ [3] ดังรูปที่ 2


รูปที่ 2 ระบบ Windows Vault ใน Windows 7

ผลกระทบ

ถึงแม้รหัสผ่านจะถูก Encrypt ไว้ แต่ผู้ใช้ในเครื่องที่มีสิทธิของผู้ดูแลระบบ (Administrator) ก็ยังสามารถเปิดดูรหัสผ่านแบบ Plain Text ของผู้ใช้ในระบบได้ ดังรูปที่ 3 ซึ่งเป็นโปรแกรม Windows Password Recovery ของบริษัท Passcape


รูปที่ 3 โปรแกรม Windows Password Recovery ของบริษัท Passcape (ที่มา Passcape)

ระบบที่ได้รับผลกระทบ

ระบบปฏิบัติการ Windows 8 ที่ใช้การ Login แบบ Picture Passwords

ข้อแนะนำในการป้องกันและแก้ไข

บริษัท Passcape แนะนำว่า ผู้ใช้งาน Windows 8 ไม่ควรตั้งค่าการ Login ด้วย Picture Password จนกว่า Microsoft จะออกแพทช์เพื่อแก้ไขช่องโหว่ดังกล่าว

อ้างอิง

http://blogs.msdn.com/b/b8/archive/2011/12/16/signing-in-with-a-picture-password.aspx
http://www.passcape.com/index.php?section=blog&cmd=details&id=27&setLang=2
http://www.neowin.net/news/main/09/03/07/windows-7-exploring-credential-manager-and-windows-vault

ที่มา: http://www.thaicert.or.th/alerts/admin/2012/al2012ad024.html

Logged

Nick Computer Services

Windows 8 เก็บข้อมูลการ Login ด้วย Picture Password เป็น Plain Text
« on: April 04, 2013, 04:37:00 PM »
Pages: [1]   Go Up
« previous next »
 
Share this topic...
In a forum
(BBCode)
In a site/blog
(HTML)


Related Topics

  Subject / Started by Replies Last post
0 Replies
5133 Views 		Last post February 14, 2009, 08:16:46 PM
by Webmaster
0 Replies
3572 Views 		Last post June 05, 2010, 06:02:35 PM
by Nick
0 Replies
4262 Views 		Last post June 16, 2010, 06:10:44 PM
by Nick
0 Replies
7139 Views 		Last post August 28, 2010, 12:59:51 AM
by Nick
0 Replies
3853 Views 		Last post December 02, 2010, 12:58:24 AM
by Nick
0 Replies
4786 Views 		Last post December 02, 2010, 02:58:12 AM
by Nick
0 Replies
2439 Views 		Last post May 20, 2012, 09:50:56 AM
by Nick
0 Replies
3100 Views 		Last post June 26, 2012, 03:40:51 AM
by Nick
162 Replies
8335 Views 		Last post February 09, 2018, 10:28:25 AM
by monapan478
0 Replies
11654 Views 		Last post April 11, 2018, 03:49:21 PM
by Nick