Sind gespeicherte Remotedesktop-Anmeldeinformationen auf dem lokalen Computer sicher?

23

Sind gespeicherte Remotedesktop-Anmeldeinformationen auf dem lokalen Computer sicher (lose gesprochen)? Sie werden zumindest nirgends als Klartext gespeichert, oder?

Bearbeiten: Ich verstehe die inhärenten Risiken des Speicherns von Passwörtern. Natürlich gibt es ein gewisses Maß an Effektivität, zum Beispiel ist das Speichern eines Passworts durch etwas wie CryptProtectData( was Google Chrome unter Win32 verwendet ) offensichtlich besser als das Speichern eines Passworts im Klartext.

DuckMaestro
quelle

Antworten:

19

Ältere Versionen des Remotedesktop-Clients speichern das Kennwort in der .rdpDatei, die leicht entschlüsselt werden kann.

Ab Remotedesktopclient Version 6 werden Anmeldeinformationen mithilfe der Windows-API für Anmeldeinformationen gespeichert. Die Kennwörter werden sicher mit einem Schlüssel verschlüsselt, der an Ihr Windows-Benutzerkonto gebunden ist ( CryptProtectDatawie in dem mit SecurityXploded verknüpften Artikel @StackExchanger beschrieben). Für den Zugriff auf diese Kennwörter ist Ihr Windows-Kennwort (oder die "Kennwortwiederherstellungsdiskette") erforderlich. Sie können jedoch von jedem von Ihnen ausgeführten Programm wie NetPass gelesen werden .

Wenn jemand physischen Zugriff hat, kann er die Passwörter mit etwas wie Ophcrack knacken oder einen Keylogger installieren.

Grawity
quelle
3

Laut securityxploded.com können Passwörter für RDP-Sitzungen problemlos aus gespeicherten Anmeldeinformationen wiederhergestellt werden.

Vielleicht ist es eine bessere Lösung, ein Passwort-Safe wie KeePass zum Speichern von Anmeldeinformationen zu verwenden, um den RDP-Anmeldevorgang zu automatisieren.

StackExchanger
quelle
2
In dem Artikel werden Anmeldeinformationen mithilfe von CryptUnprotectData "wiederhergestellt". Für welche AFAIK muss der Benutzer mit seinem Kennwort angemeldet sein?
Grawity
Ja, verwenden Sie im Grunde Best Practices für Kennwörter in Windows. Verwenden eines Kennworts mit mehr als 14 Zeichen, um beispielsweise die Speicherung älterer Kennwörter zu verhindern. Passphrasen sind gute Optionen.
Shiv
1

Sie stellen die falsche Frage, IMHO. Wenn jemand in Ihren Computer einbricht und eine RDP-Datei findet, mit der er eine Verbindung zu einem Remotecomputer herstellen kann, ohne ein Kennwort anzugeben, ist der Schaden bereits behoben. Darüber hinaus konnte er über die Remote-Sitzung einen neuen Benutzer für sich selbst erstellen oder sogar das Kennwort für den aktuellen ändern.

Die Lösung besteht darin, niemals Passwörter in der RDP-Datei zu speichern und Ihren lokalen Computer zu schützen. Oh, und wenn man sich auf frühere Erfahrungen mit MS-Software stützt, wäre ich nicht völlig überrascht, wenn das Kennwort entweder im Klartext gespeichert oder irgendwo leicht gehasht würde. Sehen Sie, wie sie mit WLAN-Kennwörtern in Windows 7 umgehen.

Reisender Tech-Typ
quelle
Danke für die Antwort und die gültigen Punkte. Ich habe meine Frage aktualisiert, um den Blickwinkel zu verdeutlichen, aus dem ich mich dem nähere.
DuckMaestro
3
Windows 7 speichert keine Passwörter in der RDP-Datei, und das Hashing macht einfach keinen Sinn (es muss bei der Authentifizierung entschlüsselbar sein). Das Erstellen eines neuen Benutzers erfordert normalerweise Administratorrechte und das Ändern eines vorhandenen Kennworts - Kenntnisse des alten.
Grawity
1
Wenn die Alternative darin besteht, das Kennwort in einem Schlüsselmanager zu speichern, spielt es dann eine Rolle, ob es in RDP gespeichert wird, wenn jemand lokalen Zugriff auf den Computer hat? Das Speichern dieser Passwörter ist einfach keine vernünftige Option.
Joel McBeth