क्या स्थानीय मशीन पर दूरस्थ डेस्कटॉप क्रेडेंशियल सुरक्षित हैं?

23

क्या स्थानीय मशीन पर रिमोट डेस्कटॉप क्रेडेंशियल सुरक्षित (शिथिल रूप से बोलना) सुरक्षित हैं? वे कम से कम कहीं भी स्पष्ट पाठ के रूप में संग्रहीत नहीं हैं, क्या वे हैं?

संपादित करें: मैं पासवर्ड सहेजने के निहित जोखिमों को समझता हूं। निश्चित रूप से हालांकि प्रभावशीलता का एक स्पेक्ट्रम है, उदाहरण के लिए किसी चीज़ के माध्यम से पासवर्ड को सहेजना, जैसे CryptProtectData( Google Chrome जो Win32 पर उपयोग करता है ) स्पष्ट रूप से स्पष्ट पाठ में पासवर्ड को सहेजने से बेहतर है।

windows-7  security  remote-desktop  passwords 
DuckMaestro
स्रोत

जवाबों:

19

दूरस्थ डेस्कटॉप क्लाइंट के पुराने संस्करण .rdpफ़ाइल में पासवर्ड संग्रहीत करते हैं , जिसे आसानी से डिक्रिप्ट किया जा सकता है।

दूरस्थ डेस्कटॉप क्लाइंट v6 के रूप में, क्रेडेंशियल Windows क्रेडेंशियल API का उपयोग करके संग्रहीत किए जाते हैं। पासवर्ड आपके Windows उपयोगकर्ता खाते से जुड़ी एक कुंजी का उपयोग करके सुरक्षित रूप से एन्क्रिप्ट CryptProtectDataकिया गया है ( जैसा कि SecurityXploded लेख @StackExchanger में वर्णित है), और उन्हें एक्सेस करने के लिए आपके विंडोज पासवर्ड (या "पासवर्ड रिकवरी" डिस्क) की आवश्यकता होती है। वे आपके द्वारा चलाए जा रहे किसी भी कार्यक्रम के द्वारा पढ़े जा सकते हैं, हालाँकि, जैसे नेटपास

ध्यान दें कि यदि किसी के पास भौतिक पहुँच है, तो वे Ophcrack जैसी किसी चीज़ का उपयोग करके पासवर्ड क्रैक कर सकते हैं, या एक keylogger स्थापित कर सकते हैं।

grawity
स्रोत
3

Securityxploded.com के अनुसार , RDP सत्रों के लिए संग्रहीत क्रेडेंशियल से पासवर्ड आसानी से पुनर्प्राप्त किए जा सकते हैं।

शायद एक बेहतर उपाय यह है कि RDP लॉग इन प्रक्रिया को स्वचालित करने के लिए क्रेडेंशियल्स को संग्रहीत करने के लिए KeePass जैसे पासवर्ड का सुरक्षित उपयोग किया जाए।

StackExchanger
स्रोत
2
CryptUnprotectData का उपयोग करके लेख "पुनर्प्राप्त करता है" क्रेडेंशियल, जो AFAIK उपयोगकर्ता को अपने पासवर्ड के साथ लॉग इन करने की आवश्यकता है?
ग्रैविटी
हां मूल रूप से विंडोज में पासवर्ड के लिए सर्वोत्तम प्रथाओं का उपयोग करें। उदाहरण के लिए विरासत पासवर्ड भंडारण को रोकने के लिए पासवर्ड> 14 वर्णों का उपयोग करना। Passphrases अच्छे विकल्प हैं।
शिव
1

आप गलत प्रश्न पूछ रहे हैं, IMHO। यदि कोई आपकी मशीन में किसी तरह से टूट जाता है, और एक आरडीपी फ़ाइल पाता है जो उसे पासवर्ड प्रदान किए बिना रिमोट मशीन से कनेक्ट करने की अनुमति देता है, तो नुकसान पहले से ही हो चुका है। इतना ही नहीं, वह दूरस्थ सत्र का उपयोग खुद के लिए एक नया उपयोगकर्ता बनाने के लिए कर सकता है, या यहां तक ​​कि वर्तमान में पासवर्ड भी बदल सकता है।

इसका उपाय यह है कि आप RDP फ़ाइल के भीतर पासवर्ड न सेव करें और अपनी स्थानीय मशीन की सुरक्षा करें। ओह, और एमएस सॉफ्टवेयर के साथ इस तरह के अनुभवों के आधार पर, मुझे पूरी तरह से आश्चर्य नहीं होगा अगर यह पासवर्ड को सादे पाठ या हल्के-हल्के कहीं भी रखा हो। विंडोज 7 में वाईफाई नेटवर्क पासवर्ड के उनके उपचार का गवाह

ट्रैवलिंग टेक गाय
स्रोत
उत्तर और मान्य बिंदुओं के लिए धन्यवाद। मैंने अपना प्रश्न अपडेट किया है कि मैं जिस कोण से आ रहा हूँ, उसे स्पष्ट करने के लिए।
19 मई को डकमास्ट्रो जूल
3
विंडोज 7 आरडीपी फ़ाइल के भीतर किसी भी पासवर्ड को स्टोर नहीं करता है, और उन्हें हैशिंग केवल समझ में नहीं आता है (प्रामाणिक होने पर इसे डिक्रिप्ट करने की आवश्यकता है)। एक नया उपयोगकर्ता बनाने के लिए सामान्य रूप से प्रशासक के अधिकारों की आवश्यकता होती है, मौजूदा पासवर्ड को बदलना - पुराने का ज्ञान।
ग्रैविटी
1
यदि विकल्प कुंजी प्रबंधक में पासवर्ड को संग्रहीत करने के लिए है, तो क्या इससे कोई फर्क पड़ता है कि क्या यह RDP में संग्रहीत है जब किसी के पास मशीन तक स्थानीय पहुंच है? इन पासवर्ड को याद रखना केवल एक उचित विकल्प नहीं है।
जोएल मैकबेथ
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.