Quanto è sicuro il mio Master Key DPAPI se abilito l'accesso biometrico?

Naviga le tue risposte
7

Capisco che le chiavi master DPAPI di Windows siano crittografate (direttamente o indirettamente) con la password di accesso dell'utente - vedi ad es. DPAPI funziona se un utente non ha un password di accesso?

Se lo capisco correttamente, significa che l'accesso fisico al computer non è sufficiente per ottenere la chiave master.

Se abilito l'accesso tramite impronta digitale (in Windows 8.1, se è importante), cosa cambia? Ora posso accedere con la mia password o la mia impronta digitale. Windows memorizza quindi una copia duplicata della chiave master crittografata con i miei dati di impronte digitali?

L'ovvia preoccupazione è che rubare la mia impronta digitale e il mio computer è quindi sufficiente per decrittografare la chiave master.

EDIT: o, peggio ancora, dato È possibile derivare in modo affidabile una chiave da un'impronta digitale biometrica? , c'è una copia completamente non criptata?

    
posta Ganesh Sittampalam 08.10.2014 - 20:21
fonte

1 risposta

3

Se non si effettua il login con una password, ma con un'impronta digitale, DPAPI riproduce una complessa sciarada di chiavi di crittografia con altre chiavi, ma la torre delle crittografie deve ancora terminare a un certo punto. Quindi, in questo caso, ciò che realmente accade è che qualcuno che ruba il tuo laptop sarà in grado di estrarre tutti i tuoi segreti - anche se con una notevole quantità di reverse engineering e maledizioni (anche se può essere ampiamente automatizzato, ovviamente).

O possibilmente abbastanza facilmente. Infatti, accanto al lettore di impronte digitali ci sono più di 90 tasti della tastiera, ognuno dei quali decorato con una copia dell'impronta digitale di una delle dita. Fooling del lettore di impronte digitali con una stampa di una delle impronte digitali potrebbe essere più facile che guadare attraverso la palude dei livelli di crittografia prodotta dagli sviluppatori Microsoft. La pura verità rimane che tutti questi livelli di crittografia sono solo fumi e specchi: poiché l'impronta digitale non può essere convertita in informazioni adatte alla crittografia (non è possibile trasformare in modo affidabile un'impronta digitale in una chiave, contrariamente a una password), quindi il portatile con le impronte digitali- login basato contiene davvero, come è, tutte le informazioni necessarie per recuperare i tuoi segreti DPAPI.

    
risposta data 08.10.2014 - 21:30
fonte

Leggi altre domande sui tag

Ci sono situazioni in cui si può montare un MITM passivo? È sicuro archiviare i token di accesso di Twitter lato client?