התחברות לRDP באמצעות windows hello
-
האם ניתן להתחבר לRDP באמצעות windows hello היינו הPIN במקום הסיסמא האמיתית של החשבון?
ובאם ניתן להתחבר, האם ניתן להשבית את זה?
מה שאני חותר.
שאוכל לפתוח את המחשב להתחברות מרחוק דרך האינטרנט, היינו מהעולם החיצוני, לא רק ברשת הפנימית.
להגדיר סיסמא חזקה לחשבון, לצורכי אבטחה..
אך כשאני על יד המחשב עצמו שלא אצטרך להקיש את הסיסמא האמיתית הארוכה אלא קוד PIN מקוצר בלבד. -
@חוקר בנוגע לעצם השאלה שלך,
בינתיים מאז שיצא ווינדוס 10 עם האופציה של Windows Hello לא הספקתי לחפור מספיק בנושא למרות שזה די מעניין אותי, ועוד חזון למועד...
אבל ממה שאני מצליח להבין בינתיים:
אין שום בעיה לאפשר התחברות באמצעות PIN גם דרך RDP, כי ה-PIN בעצמו לא עושה את האימות אלא זה המפתח עבור טוקן ששמור במחשב ב-TPM. והטוקן הזה אי אפשר לקבל אלא באמצעות סיסמה, ולא מספיק לזה PIN. לכן אין מצב שמישהו שאין בידו את הPINמחשב
יצליח ליכנס לחשבון שלך ממחשב מרוחק. -
@yossiz אמר בהתחברות לRDP באמצעות windows hello:
לכן אין מצב שמישהו שאין בידו את ה-PIN יצליח ליכנס לחשבון שלך ממחשב מרוחק
ומי שיש בידו את הPIN?
-
@yossiz אמר בהתחברות לRDP באמצעות windows hello:
ולא מספיק לזה PIN. לכן אין מצב שמישהו שאין בידו את ה-PIN יצליח ליכנס לחשבון שלך ממחשב מרוחק.
הא גופא, היות והפין הוא קצר 4 תווים, והסיסמא ארוכה ומפותלת, אם היית אומר שלא ניתן להתחבר באמצעות הPIN הייתי רגוע..
לפרוץ את הפין לא אמור להיות קשה היות והוא קצר, ולכן אני לא רגוע. -
אחרי עוד קצת מחקר בנושא, אני מבין שיש שני מוצרים שונים שעונים לשם Windows Hello.
יש את ה-hello הביתי ואת ה-hello for business.
מה שתיארתי למעלה (שה-PIN מגן על טוקן קריפטוגרפי שנשמר ב-TPM) תואם לגירסה העסקית. בגירסה הביתית זה פחות משוכלל, ועדיין לא ברור לי בדיוק מה התהליך, אבל נראה לי שה-PIN מגן ישירות על הסיסמה המקורית (ז.א. שמעתה לא צריך לפרוץ את ההאש של הסיסמה רק את ה-PIN? לא יודע, וצריך עיון...).
אבל בכל מקרה ה-PIN אמור לעבוד רק על מחשב שבו כבר נכנסת עם סיסמה מלאה. -
טוב, אם זה מעניין למישהו, נסיתי לחקור עד כמה שידי מגעת בנושא של Windows Hello וזה מה שיצא:
- משום מה, אין הרבה מידע בנושא באינטרנט
- יש שני מוצרים (כנ"ל)
- Windows Hello הביתי
- ו-Windows Hello for Business
- הגירסה הביתית עובד ככה:
- (הקדמה: הסיסמה של חשבון המשתמש בווינדוס לא שמורה בשום צורה שהיא במחשב. מה שנשמר הוא האש של הסיסמה. קשה מאוד עד בלתי אפשרי לפצח האש חזקה של סיסמה חזקה)
- בעת הגדרת ה-PIN אתה מזין את הסיסמה המקורית של החשבון!
- ווינדוס מצפינה את הסיסמה הזאת באמצעות הצפנה מתקדמת. כדי לפצח את ההצפנה חייבים או PIN או מידע ביומטרי. בעת הזנת ה-PIN/טביעת האצבע/מידע ביומטרי אחר - ווינדוס משתמשת במידע כדי לפענח את הסיסמה המקורית, הכניסה לחשבון נעשית על ידי אימות הסיסמה המקורית מול ההאש ששמורה ברג'יסטרי כמו בעת כניסה רגילה על ידי סיסמה. (מנגנון זו ידועה בתיעוד של מייקרוסופט כ-Convenience PIN)
- במחשבים שיש להם TPM, הפיענוח חייב לעבור דרך ה-TPM. זה מגן מפני התקפות Brute Force על ה-PIN.
- הסיסמה המוצפנת שמורה ב-Windows Vault באמצעות DPAPI CNG
- אפשר לשלוף את המידע משם באמצעות כלי זה של ניר סופר, אך זה עדיין מוצפן.
- אפשר לפענח את ההצפנה באמצעות תוכנת WPR. גם בגירסה הנסיון התכונה הזאת עובדת. אם קיים במאגר DPAPI מידע ביומטרי של המשתמש הם יכולים לפענח את הההצפנה על ידו, אם לא, צריך להזין את ה-PIN.
- הגירסה העסקית של Hello לעומת זאת עובדת בצורה אחרת לגמרי:
- האימות הסופי נעשה על ידי מפתח ציבורי/פרטי. לא על ידי סיסמה בכלל.
- לכל מכשיר יש מפתח פרטי משלו שאגוד רק למכשיר ההוא. המפתח מוגנת על ידי ה-TPM. והגישה למפתח מוגנת על ידי PIN/מידע ביומטרי.
בכל מקרה, מה שכתבתי למעלה קיים וישר,
אין שום אפשרות להיכנס באמצעות PIN של ווינדוס הלו, בלי גישה למחשב האישי של המשתמש, או לסיסמה המקורית. לכן אין בעיה אם ווינדוס Hello עובדת גם דרך RDP.
עם כל זה, אין לי מושג אם זה באמת מופעל גם ב-RDP או לא... לכן אין לי תשובה ישירה על שאלת @חוקר ... אבל השאלה לא במקום כי אין נפק"מ.(עדיין לא ברור לי משהו, כי עד היום חשבתי ש-DPAPI מצפין דאטה על ידי סיסמת המשתמש. אם כן איך תהליך הכניסה לחשבון מפענח את הדאטה כדי לקבל את הסיסמה, בלי שניתן לו את הסיסמה? זה בעית הביצה והתרנגולת? אשמח אם מישהו יכול ליישב את זה.)
-
הנה לכל ההאקרים או אלה ששואפים להיות... יש כאן הדגמה של תהליך פענוח הסיסמה המקורית מתוך מאגר ה-DPAPI CNG באמצעות ה-PIN על ידי הכלי המפורסם במעגלי ההאקרים mimikatz. הסרטון מאת כותב הכלי. הכלי מזוהה כמזיק על ידי כל האנטי וירוסים למרות שאינו מזיק כלל. אבל האקרים משתמשים בזה הרבה לקבל סיסמאות וכדו' אז אם אתה רוצה לנסות תשבית את האנטי וירוס: