Quanto è sicura la password VNC?

1

Capisco che VNC non è crittografato, il che va bene se tunnel con SSH. Ma per quanto riguarda l'impostazione di una password? È davvero utile? O è davvero uno scherzo ?

security  passwords  vnc  remote 
Il fisico quantistico
fonte
1
È possibile utilizzare una password ma il traffico non è crittografato, il che significa che, a meno che non sia crittografato, la password viene trasmessa in chiaro
Ramhound,
@Ramhound Se qualcuno accede al computer, localmente, può vedere la password e accedere alla sessione, anche se mi sto collegando tramite SSH? Dovrebbe essere possibile, giusto?
Il fisico quantistico l'
Che cosa? Se qualcuno ha accesso fisico a una macchina, tutte le scommesse sono spente su ciò che è possibile. L'accesso fisico modifica drasticamente tutte le risposte
Ramhound,
@TheQuantumPhysicist È sempre meglio usare una password piuttosto che non usarla affatto. Anche se il traffico non è crittografato, quello che accede al PC localmente potrebbe non avere le competenze o gli strumenti adeguati per recuperare la password. Puoi usare un piccolo lucchetto per bloccare la porta, potrebbe non impedire alla polizia di svuotare la tua casa, ma manterrà un gruppo di bambini lontani.
dmb,

Risposte:

0

Bene, dice il manuale

vncpasswd ['s] ... il comportamento predefinito è richiedere una password VNC e quindi archiviare una versione offuscata di questa password in un file. ... Nota che la password memorizzata non è crittografata in modo sicuro: chiunque abbia accesso a questo file può scoprire banalmente la password in chiaro, quindi vncpasswd imposta sempre le autorizzazioni appropriate (leggi e scrivi solo dal proprietario.) Tuttavia, quando accede un desktop VNC, un meccanismo di risposta alla sfida viene utilizzato sul filo rendendo difficile per chiunque decifrare la password semplicemente ficcando il naso sulla rete.

Questo è abbastanza per tenere fuori gli oziosi curiosi, o l'altro utente sulla tua macchina che ha dimenticato il loro numero di display e ha cercato di connettersi al tuo display per errore, ma sembra non abbastanza per tenere fuori un determinato attaccante.

Si noti in particolare che il file della password è "offuscato", piuttosto che crittografato; chiunque sia in grado di leggere i tuoi file di sola lettura può determinare banalmente la password.

rapinare
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.