2012年9月1日 星期六

研究:筆電指紋辨識系統也可能密碼外洩


研究:筆電指紋辨識系統也可能密碼外洩

俄羅斯的資安公司ElcomSoft表示,,只要使用過UPEK Protector Suite登入Windows的帳號密碼都會以接近明碼的方式儲存,因此其他人只要有機會使用到該電腦,就可能從Windows的登錄檔中取得資料。 

位於俄羅斯的資安公司ElcomSoft表示,大部分筆記型電腦所使用的指紋辨識系統所搭配的管理軟體UPEK Protector Suite,使用接近明碼的方式將資料儲存在Windows登錄檔(registry)內,可能導致使用者的密碼外洩。

UPEK公司在2010年被AuthenTec併購,之後AuthenTec以另一套管理軟體TrueSuite取代Protector Suite,但大部分的使用者仍繼續使用UPEK Protector Suite。

企業通常透過管理原則設定,不准使用者讓Windows系統記憶帳號密碼,需使用者手動登入。但配有指紋辨識系統的筆記型電腦可以透過指紋掃描,由管理軟體協助使用者登入系統。

ElcomSoft表示,只要使用過UPEK Protector Suite登入Windows的帳號密碼都會以接近明碼的方式儲存,因此其他人只要有機會使用到該電腦,就可能從Windows的登錄檔中取得資料,並在往後以帳號密碼登入該電腦或企業內部網路,因此ElcomSoft建議使用者將Protector Suite軟體內所有的帳號都清除。

另外,Windows使用EFS加密檔案保護資料,因此當設備或隨身碟遺失時,EFS加密檔案的內容不致被讀取,除非擁有加密該檔案的使用者Windows帳號密碼。而UPEK Protector Suite的作法可能讓EFS加密檔案喪失保護的功能。

AuthenTec公司的客戶涵蓋宏碁、華碩、Dell、Gateway、聯想、微星、NEC、三星、Sony和Toshiba等。

蘋果(Apple)上個月提議以溢價58%併購AuthenTec,七月底AuthenTec董事會已經批准該併購案,若股東大會也通過就會併入Apple。(編譯/沈經)

轉載自《iThome》