Tvoje staré heslo môže stále fungovať! Windows má problém, o ktorom Microsoft tvrdí, že to nie je chyba
Windows Remote Desktop Protocol (RDP) umožňuje diaľkové pripojenie k počítaču, no pri používaní Microsoft alebo Azure účtov môže predstavovať vážne bezpečnostné riziko, staré heslá môžu fungovať aj po zmene, ak sú uložené v cache.
Windows Remote Desktop Protocol (RDP) je nástroj, ktorý umožňuje používateľom pripojiť sa na diaľku k inému počítaču s Windowsom. Je to bežná funkcia vo firmách , ale aj domácnostiach, pretože umožňuje správcom aj bežným používateľom ovládať počítač na diaľku, akoby pri ňom sedeli. Zároveň však môže predstavovať bezpečnostné riziko, najmä ak sa používa s účtami Microsoft alebo Azure.
Nedávno sa objavila správa, ktorá upozorňuje na vážny problém s bezpečnosťou RDP. Ak sa používateľ prihlási do Windowsu pomocou Microsoft alebo Azure účtu a povolí RDP, systém si uloží jeho heslo do lokálnej vyrovnávacej pamäte na disku. Toto heslo je síce šifrované, no zostáva uložené v počítači. Keď si používateľ neskôr zmení heslo v účte Microsoft alebo Azure (napríklad po podozrení na únik hesla), očakáva, že staré heslo už nebude fungovať. V prípade RDP to však neplatí! Staré heslo môže byť naďalej použiteľné na prihlásenie cez RDP, a to aj z iného zariadenia.
Podľa Microsoftu jednoducho nejde o problém!
Tento problém nie je len teoretický. Bezpečnostní experti Daniel Wade a Will Dormann upozorňujú, že ide o trvalé zadné vrátka do systému. Ak niekto pozná tvoje staré heslo, môže sa tak k počítaču pripojiť cez RDP, aj keď si si už dávno nastavil nové. Navyše, bezpečnostné nástroje ako Microsoft Defender, alebo Azure na takéto prihlásenie neupozornia. Používateľ teda nemá šancu zistiť, že niekto jeho staré heslo stále používa.
Microsoft na tento problém reagoval s tým, že nejde o chybu, ale o zámerné správanie. Tvrdia, že funkcia má zabezpečiť, aby sa používateľ mohol k počítaču prihlásiť aj v prípade, že je zariadenie dlhodobo offline. Z pohľadu bezpečnosti je to však veľmi problematické, pretože zmena hesla je základný spôsob, ako zamedziť prístup neoprávneným osobám. Ak staré heslo zostáva funkčné, zmena hesla stráca zmysel.
Ako tento mechanizmus funguje? Pri prvom prihlásení cez RDP sa heslo overí online a uloží sa do cache. Pri ďalších prihláseniach cez RDP už Windows overuje heslo len lokálne, nie cez internet. Preto môže staré heslo fungovať aj po zmene v cloude. V niektorých prípadoch sa dokonca môže stať, že funguje viacero starších hesiel, zatiaľ čo nové heslo systém neakceptuje.
Neprehliadni
Chrániť sa dá, ale ide o zbytočnú komplikáciu
Používateľ alebo správca môže v tejto situácii urobiť niekoľko praktických krokov. Najjednoduchším riešením je vypnúť RDP na všetkých počítačoch, kde túto funkciu naozaj nepotrebuješ. Ak však vzdialený prístup potrebuješ, je bezpečnejšie používať lokálne účty namiesto účtov Microsoft alebo Azure, pretože tie neukladajú prihlasovacie údaje do cloudovej vyrovnávacej pamäte.
Ďalej je vhodné pravidelne kontrolovať Správcu poverení (Credential Manager) a odstraňovať z neho uložené prihlasovacie údaje, ktoré už nie sú aktuálne alebo potrebné. Ak si si zmenil heslo a chceš sa uistiť, že staré heslo už nebude fungovať, môžeš na vzdialenom počítači spustiť príkaz – runas /user:MicrosoftAccount\[tvoj email] cmd.exe, ktorý vynúti aktualizáciu uložených údajov. Týmto spôsobom znížiš riziko, že by niekto mohol zneužiť staré heslo na prístup cez RDP.
Treba si však uvedomiť, že podľa Microsoftu toto správanie nie je bezpečnostná chyba, ale funkcia, ktorú neplánuje meniť! Dôvodom je kompatibilita so staršími aplikáciami a snaha zabezpečiť prístup aj v offline režime. Z pohľadu bezpečnosti je však tento prístup veľmi sporný a používatelia by mali byť opatrní, najmä ak pracujú s citlivými údajmi alebo ak ich heslo uniklo. Ak teda používaš RDP s účtom Microsoft alebo Azure, zmena hesla nemusí stačiť na zablokovanie starého prístupu. Staré heslo môže naďalej fungovať, kým sa neodstráni z cache na konkrétnom počítači.
Komentáre