Apakah kredensial Remote Desktop disimpan di mesin lokal?

23

Apakah kredensial Desktop Jarak Jauh aman (secara longgar) pada mesin lokal? Paling tidak mereka tidak disimpan sebagai teks yang jelas di mana saja, bukan?

Sunting: Saya memahami risiko inheren menyimpan kata sandi. Tentu saja meskipun ada spektrum efektivitas, misalnya menyimpan kata sandi melalui sesuatu seperti CryptProtectData( apa yang Google Chrome gunakan pada Win32 ) jelas lebih baik daripada menyimpan kata sandi dalam teks yang jelas.

DuckMaestro
sumber

Jawaban:

19

Klien Remote Desktop versi lama menyimpan kata sandi dalam .rdpfile, yang dapat dengan mudah didekripsi.

Pada Remote Desktop Client v6, kredensial disimpan menggunakan API Kredensial Windows. Kata sandi dienkripsi dengan aman menggunakan kunci yang diikat ke akun pengguna Windows Anda ( CryptProtectDataseperti yang dijelaskan dalam artikel SecurityXploded @StackExchanger tertaut ke), dan mengaksesnya memerlukan kata sandi Windows Anda (atau disk "pemulihan kata sandi"). Mereka dapat dibaca oleh program apa pun yang Anda jalankan, seperti NetPass .

Perhatikan bahwa jika seseorang memiliki akses fisik, mereka dapat memecahkan kata sandi menggunakan sesuatu seperti Ophcrack, atau memasang keylogger.

grawity
sumber
3

Menurut securityxploded.com , kata sandi dapat dengan mudah dipulihkan dari kredensial yang disimpan untuk sesi RDP.

Mungkin solusi yang lebih baik adalah dengan menggunakan kata sandi yang aman seperti KeePass untuk menyimpan kredensial untuk mengotomatiskan proses log on RDP.

StackExchanger
sumber
2
Artikel "memulihkan" kredensial menggunakan CryptUnprotectData, yang mana AFAIK mengharuskan pengguna untuk login dengan kata sandi mereka?
grawity
Ya, pada dasarnya, gunakan praktik terbaik untuk kata sandi di Windows. Misalnya menggunakan kata sandi> 14 karakter untuk mencegah penyimpanan kata sandi lama. Frasa sandi adalah pilihan yang baik.
Shiv
1

Anda mengajukan pertanyaan yang salah, IMHO. Jika seseorang menerobos komputer Anda, dan menemukan file RDP yang memungkinkannya terhubung ke mesin jarak jauh tanpa memberikan kata sandi, maka kerusakan sudah terjadi. Tidak hanya itu, ia bisa menggunakan sesi jarak jauh untuk membuat pengguna baru untuk dirinya sendiri, atau bahkan mengubah kata sandi yang sekarang.

Solusinya adalah jangan pernah menyimpan kata sandi di dalam file RDP dan melindungi mesin lokal Anda. Oh, dan berdasarkan pengalaman masa lalu dengan perangkat lunak MS, saya tidak akan benar-benar terkejut jika menyimpan kata sandi dalam teks biasa atau hash ringan di suatu tempat. Saksikan perlakuan mereka terhadap kata sandi jaringan wifi di Windows 7.

Bepergian Tek Guy
sumber
Terima kasih atas jawaban dan poin yang valid. Saya telah memperbarui pertanyaan saya untuk mengklarifikasi dari sudut mana saya mendekati ini.
DuckMaestro
3
Windows 7 tidak menyimpan kata sandi apa pun di dalam file RDP, dan membuat hashing itu tidak masuk akal (perlu didekripsi ketika mengotentikasi). Membuat pengguna baru biasanya membutuhkan hak Administrator, mengubah kata sandi yang ada - pengetahuan yang lama.
grawity
1
Jika alternatifnya adalah menyimpan kata sandi di manajer kunci, apakah ada bedanya apakah disimpan dalam RDP ketika seseorang memiliki akses lokal ke mesin? Mengingat kata sandi ini sama sekali bukan opsi yang masuk akal.
Joel McBeth