Windows 7 og 8 gemmer kodeords-tip i klartekst

Illustration: Virrage Images/Bigstock
Microsoft gemmer tip til kodeord i klartekst i Windows 7 og 8. Det er dog ikke nødvendigvis et sikkerhedsproblem, selvom det kan gøre brute force-angreb lettere.

Ifølge sikkerhedsfolk fra firmaet TrustWave SpiderLabs gemmer Windows 7 og 8 tip til kodeord i klartekst. Det skriver The Register.

It-sikkerhedsfirmaet har undersøgt de to styresystemer og fundet en nøgle i registreringsdatabasen med navnet 'UserPasswordHint'. Den tilhørende værdi var obfuskeret med et par nuller, men i øvrigt ukrypteret, og derfor kunne firmaet let hente kodeordstippet ud af den.

Kodeordstip er nyttige, hvis du har glemt dit kodeord til et styresystem eller en nettjeneste.

Men er det så også et problem?

The Register har talt med sikkerhedsfolk, som på den ene side siger, at kendskab til kodeordstip kan gøre det lettere for hackere at gennemføre brute force-angreb. På den anden side siger andre, at det ikke er meningen med kodeordstip, at de skal være hemmelige.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Sune Marcher

What's the fuss?

Ja, password hintet kan i teorien godt krypteres, men eftersom det skal kunne vises når brugeren har glemt sit password... må det nødvendigvis være med en nøgle der ikke er password-afhængig. Med andre ord, ligegyldig "security" through obscurity.

Så længe hint-svaret er forsvarligt gemt er der ingen historie her - move along, people, nothing to see.

  • 10
  • 0
Patrick Moog

Så de har ikke krypteret spørgsmålet, man alligevel får stillet efter fejlindtastet password?
Hvad bliver det næste? Ruko har ikke kamufleret hvor nøglehullet er i deres døre?

Hvis det her skal være en seriøs diskussion, skal det da være om kodeords-tips overhovedet er en god ide.

  • 6
  • 0
Peter Makholm

The Register har talt med sikkerhedsfolk, som på den ene side siger, at kendskab til kodeordstip kan gøre det lettere for hackere at gennemføre brute force-angreb.

Når man anvender oplsynigner der begrænser mængden af mulige klar-tekster er der vel ikke tale om et brute-force angreb.

  • 1
  • 1
Nicolai Hansen

Hvad man kan bruge denne "nyhed" til, må være at konkludere at Mikkel Meister ikke læser hvad der står, når han "oversætter" nyheder.

Havde han læst hvad der stod, så måtte man gå ud fra at han ikke havde postet nyheden, for det eneste den påpeger er noget idiotisk dumt (som altid har været sådan, og som ikke KAN laves anderledes). Yderligere er det forkert at kalde det klartekst, når hintet tydeligvis er obfuscated. Og som Peter Makholm rigtigt nok siger, så er det teknisk set ikke et bruteforce angreb hvis hintet hjælper en tættere på kodeordet.

  • 0
  • 0
Log ind eller Opret konto for at kommentere