Le credenziali di Desktop remoto salvate sono sicure sul computer locale?

23

Le credenziali di Desktop remoto salvate sono sicure (in senso lato) sul computer locale? Non sono memorizzati come testo in chiaro almeno ovunque, vero?

Modifica: comprendo i rischi inerenti al salvataggio delle password. Certamente anche se esiste uno spettro di efficacia, ad esempio salvare una password tramite qualcosa di simile CryptProtectData( ciò che Google Chrome utilizza su Win32 ) è ovviamente meglio che salvare una password in chiaro.

windows-7  security  remote-desktop  passwords 
DuckMaestro
fonte

Risposte:

19

Le versioni precedenti del client Desktop remoto memorizzano la password nel .rdpfile, che può essere facilmente decrittografata.

A partire da Remote Desktop Client v6, le credenziali vengono archiviate utilizzando l'API Credenziali di Windows. Le password vengono crittografate in modo sicuro utilizzando una chiave collegata al proprio account utente di Windows ( CryptProtectDatacome descritto nell'articolo SecurityXploded @StackExchanger collegato a) e per accedervi è necessaria la password di Windows (o il disco "recupero password"). Possono essere letti da qualsiasi programma eseguito, ad esempio NetPass .

Nota che se qualcuno ha accesso fisico, può decifrare le password usando qualcosa come Ophcrack o installare un keylogger.

grawity
fonte
3

Secondo securityxploded.com , le password possono essere facilmente recuperate dalle credenziali archiviate per le sessioni RDP.

Forse una soluzione migliore è utilizzare una password sicura come KeePass per archiviare le credenziali al fine di automatizzare il processo di accesso RDP.

StackExchanger
fonte
2
L'articolo "recupera" le credenziali utilizzando CryptUnprotectData, a cui AFAIK richiede che l'utente abbia effettuato l'accesso con la propria password?
Grawity,
Sì, fondamentalmente utilizzare le migliori pratiche per le password in Windows. Utilizzando una password> 14 caratteri per impedire l'archiviazione della password legacy, ad esempio. Le passphrase sono buone opzioni.
Shiv,
1

Stai facendo la domanda sbagliata, IMHO. Se qualcuno entra nel tuo computer in qualche modo e trova un file RDP che gli consente di connettersi a un computer remoto senza fornire una password, il danno è già stato fatto. Non solo, potrebbe usare la sessione remota per creare un nuovo utente per se stesso, o persino cambiare la password su quella corrente.

La soluzione è non salvare mai le password all'interno del file RDP e proteggere il tuo computer locale. Oh, e sulla base di esperienze passate con il software MS, non sarei totalmente sorpreso se mantenesse la password in testo normale o in qualche modo cancellata. Prova il loro trattamento delle password della rete wifi in Windows 7.

Travelling Tech Guy
fonte
Grazie per la risposta e i punti validi. Ho aggiornato la mia domanda per chiarire l'angolazione da cui mi sto avvicinando.
DuckMaestro,
3
Windows 7 non memorizza alcuna password nel file RDP e l'hash non ha senso (deve essere decifrabile durante l'autenticazione). La creazione di un nuovo utente richiede normalmente i diritti di amministratore, la modifica di una password esistente - conoscenza di quella precedente.
Grawity,
1
Se l'alternativa è archiviare la password in un gestore chiavi, fa differenza se è memorizzata in RDP quando qualcuno ha accesso locale alla macchina? Ricordare queste password non è semplicemente un'opzione ragionevole.
Joel McBeth,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.