• Оптимизация
  • Социальные сети
  • Sitemap
  • Drupal
  • Usability
  • Юзабилити
  • B2b
  • Антивирус
  • Семантическое ядро
  • Новости
    • <

    Microsoft Account: зручність або діра в безпеці?

    1. Microsoft Account для входу в Windows
    2. Автоматичне шифрування BitLocker Device Protection
    3. Ключ від BitLocker зберігається в «хмарі»
    4. Логін і пароль - достатній захист?
    5. Інші способи отримати пароль від Microsoft Account
    6. висновок

    Microsoft посилено просуває власну реалізацію single sign-on через Microsoft Account. За допомогою Microsoft Account пропонується заходити в OneDrive, Skype, поштові сервіси Live.com, Outlook.com і Hotmail.com. Починаючи з Windows 8, Microsoft Account пропонується використовувати і для входу в систему. Користувачеві при цьому обіцяють синхронізацію паролів з «хмарою», автоматичне збереження фотографій, автоматичний доступ до документів і автоматичне же резервне копіювання налаштувань системи в «хмарі». Однак у такого варіанту використання Microsoft Account є свої підводні камені. Про них - наша сьогоднішня стаття.

    Microsoft Account для входу в Windows

    Починаючи з Windows 8, логін і пароль від Microsoft Account можна використовувати для входу в Windows замість використання локального логіна і пароля. У Windows 10 в компанії пішли далі: тепер при установці Windows відразу пропонується зайти за допомогою Microsoft Account; сама можливість використовувати локальні логін і пароль не афішується, хоч і залишена у вигляді малопомітною посилання.

    З точки зору користувача логін за допомогою Microsoft Account досить зручний. Якщо Microsoft Account використовується для логіна в систему, то у користувача не буде необхідності окремо вводити логін і пароль для використання «хмарного» сховища OneDrive, месенджера Skype і деяких інших сервісів Microsoft. При цьому налаштування системи (паролі від Wi-Fi, мови, колірні теми, регіональні настройки і т.д.) будуть автоматично синхронізовані з іншими пристроями, на які користувач заходить за допомогою тієї ж облікового запису. Крім того, будуть синхронізовані форми автозаповнення і паролі, збережені в браузерах Internet Explorer і Edge. Іншими словами, розробники Microsoft постаралися перенести призначений для користувача досвід з Google Android прямо в Windows, причому як в деськтопной, так і в мобільній версії.

    Однак на відміну від Android в реалізації від Microsoft є цілий ряд особливостей, що відносяться до безпеки даних. Ці особливості ми сьогодні і розглянемо.

    Автоматичне шифрування BitLocker Device Protection

    Для багатьох класів пристроїв використання Microsoft Account для входу в систему автоматично включить шифрування даних. Якщо пристрій під управлінням Windows 8, 8.1, 10 або Windows RT (планшет, ультрабук або пристрій 2-в-1) підтримує режим Connected Standby, якщо оперативна пам'ять фіксована і якщо в якості системного накопичувача використовується флеш-пам'ять (eMMC, UFS2.0 або SSD), а також - важливий момент! - пристрій укомплектовано модулем TPM2.0, воно готове до використання системи захисту даних BitLocker Device Protection.

    Для того, щоб шифрування активізувалося, користувачеві не потрібно робити зовсім нічого. Досить в процесі установки Windows ввести облікові дані Microsoft Account або в будь-який момент після додати дані Microsoft Account до будь-облікового запису з адміністративними привілеями - і Windows автоматично почне шифрування системного розділу. Користувач може нічого не знати про шифрування, але воно буде активовано - точно так само, як це робиться в смартфонах, які виходять із заводською прошивкою на основі Android 6.0 і новіших.

    Для входу в систему і розшифровки даних тепер досить ввести пароль від облікового запису Microsoft Account або скористатися спрощеною системою аутентифікації Windows Hello (вхід за допомогою короткого PIN-коду або біометричної аутентифікації). Якщо пристрій буде втрачено або вкрадено, у зловмисника буде обмежене число спроб логіна за допомогою PIN-коду і необмежену - за допомогою пароля до облікового запису Windows. Більш того, при спробі витягти жорсткий диск і підключити його до іншого комп'ютера потрібно ввести ключ шифрування BitLocker - просто даних облікового запису Microsoft Account вже недостатньо.

    Здавалося б, така система тільки підвищує безпеку інформації. Але є підводні камені, використання яких зловмисником або органами охорони правопорядку здатне звести нанівець переваги шифрування.

    Ключ від BitLocker зберігається в «хмарі»

    Перший підводний камінь: ключ шифрування, який використовується BitLocker Device Protection для доступу до системного розділу, зберігається в Microsoft OneDrive і доступний всім, у кого є доступ до облікового запису Microsoft Account користувача.

    Так, ключ шифрування BitLocker Device Protection автоматично зберігається в «хмару» того користувача, який першим зайде в систему з обліковим записом Microsoft Account, що володіє адміністративними привілеями. Цього ключа буде досить для повної розшифровки зашифрованого томи як на комп'ютері користувача (із завантаженням в Windows PE), так і при перенесенні диска на інший комп'ютер.

    Для вилучення ключа BitLocker Device Protection досить авторизуватися з обліковим записом користувача Microsoft Account (буде потрібно вказати логін і пароль користувача від облікового запису Microsoft, якщо в облікового запису включений режим двофакторної аутентифікації, буде потрібно доступ до додатка-аутентифікатору) за адресою http://windows.microsoft.com/recoverykey або https://onedrive.live.com/recoverykey

    Всі ключі шифрування користувача будуть показані на одній сторінці. Ідентифікувати потрібний ключ можна за ідентифікатором пристрою, який виводиться в той момент, коли здійснюється спроба монтування зашифрованого томи.

    Логін і пароль - достатній захист?

    Якщо диск зашифровано за допомогою BitLocker або його «полегшеної» версії - BitLocker Device Protection, і при цьому в системі встановлений модуль TPM 2.0, то витягти базу даних SAM (для спроби підібрати пароль для входу в Windows) буде неможливо або дуже важко. Так, існують складні атаки за допомогою методів, для яких потрібно фізичне видалення оперативної пам'яті для спроби вважати ключ шифрування; до речі, саме тому одна з вимог для автоматичної активації BitLocker Device Protection - незнімні (розпаяні) модулі оперативної пам'яті. Однак на логічному рівні такий захист досить безпечна.

    Наявність Microsoft Account тут - найслабша ланка. Якщо системний диск зашифрований і в комп'ютері активований модуль TPM 2.0, то витягти SAM (наприклад, за допомогою Elcomsoft System Recovery ) не вийде. Але хто сказав, що атакувати потрібно саме цей комп'ютер?

    На відміну від даних локальних облікових записів Windows, облікові записи Microsoft зберігаються віддалено, в «хмарному» сервісі Microsoft. Прямий перебір паролів (атакою на сервери Microsoft) неможливий. У той же час на локальному комп'ютері параметри облікового запису теж зберігаються. Це робиться для того, щоб користувач міг зайти в Windows навіть якщо мережеве з'єднання недоступне. Дані про таких облікових записах можна спробувати витягти, після чого можна спробувати відновити пароль.

    Пароль до онлайнової облікового запису Microsoft Account відновлюється за допомогою офлайновой атаки.

    Дуже часто у користувачів портативних пристроїв (нагадаємо, BitLocker Device Protection активується автоматично саме в них) є в наявності і повнорозмірний комп'ютер, десктоп або ноутбук. Шифрування BitLocker Device Protection на них може не бути присутнім: не виконується як мінімум одна з умов для автоматичної активації - незнімна (розпаяна) оперативна пам'ять. Таким чином, за допомогою Elcomsoft System Recovery можна витягти дамп бази даних SAM і спробувати відновити пароль на вхід в систему.

    У Elcomsoft System Recovery є вбудовані засоби, за допомогою яких простий пароль можна спробувати відновити «на місці». Якщо ж пароль виявився довгим і складним, програма дозволяє отримати хеші паролів і зберегти їх у файлі для перебору з допомогою Elcomsoft Distributed Password Recovery .

    Інші способи отримати пароль від Microsoft Account

    Якщо є комп'ютер, системний розділ якого не зашифрований, то проводити тривалу атаку на пароль для входу в систему може бути необов'язково. Існує ймовірність, що користувач вводив пароль до Microsoft Account для перевірки пошти через браузер або для доступу до численних онлайнових сервісів Microsoft. Пароль в цьому випадку може зберігатися браузером - Chrome, Edge, Internet Explorer, Firefox ... Витягти його з сховища браузера - завдання набагато простіше тій, яку доводиться вирішувати при відновленні пароля на вхід в систему.

    Для миттєвого вилучення пароля від облікового запису використовується Elcomsoft Internet Password Breaker .

    За допомогою цього інструменту можна проаналізувати дані браузерів командою Web Passwords. До речі, пароль до Hotmail цілком може використовуватися в одному з поштових клієнтів (втім, виключно старих версій). З великою ймовірністю пароль буде знайдений і його можна буде використовувати для доступу до системи.

    висновок

    Використання даних облікового запису Microsoft Account для входу в Windows - це додаткова зручність, синхронізація налаштувань, паролів і форм браузера. Багато сценаріїв використання Microsoft Account увазі автоматичне включення шифрування системного розділу. У той же час користувач змушений використовувати один і той же пароль для входу в обліковий запис Microsoft Account.


    Логін і пароль - достатній захист?
    Але хто сказав, що атакувати потрібно саме цей комп'ютер?
    IRC (Internet Relay Chat)

    Все права защищены © 2013 IRC-сервер — Irc.Online.com.ua