¿Las credenciales de Escritorio remoto guardadas son seguras en la máquina local?

23

¿Las credenciales de Escritorio remoto guardadas son seguras (en términos generales) en la máquina local? No se almacenan como texto claro en ninguna parte al menos, ¿verdad?

Editar: entiendo los riesgos inherentes de guardar contraseñas. Ciertamente, aunque existe un espectro de efectividad, por ejemplo, guardar una contraseña a través de algo como CryptProtectData( lo que Google Chrome usa en Win32 ) es obviamente mejor que guardar una contraseña en texto claro.

windows-7 security remote-desktop passwords PatoMaestro
fuente

Respuestas:

19

Las versiones anteriores del cliente de Escritorio remoto almacenan la contraseña en el .rdparchivo, que se puede descifrar fácilmente.

A partir de Remote Desktop Client v6, las credenciales se almacenan utilizando la API de credenciales de Windows. Las contraseñas se cifran de forma segura utilizando una clave vinculada a su cuenta de usuario de Windows ( CryptProtectDatacomo se describe en el artículo de SecurityXploded @StackExchanger vinculado), y para acceder a ellas se requiere su contraseña de Windows (o el disco de "recuperación de contraseña"). Sin embargo, puede leerlos cualquier programa que ejecute, como NetPass .

Tenga en cuenta que si alguien tiene acceso físico, puede descifrar las contraseñas con algo como Ophcrack o instalar un keylogger.

Gravedad
fuente
3

Según securityxploded.com , las contraseñas se pueden recuperar fácilmente de las credenciales almacenadas para las sesiones RDP.

Quizás una mejor solución es usar una contraseña segura como KeePass para almacenar credenciales para automatizar el proceso de inicio de sesión RDP.

StackExchanger
fuente
2
El artículo "recupera" las credenciales usando CryptUnprotectData, ¿qué AFAIK requiere que el usuario inicie sesión con su contraseña?
Grawity
Sí, básicamente, utilice las mejores prácticas para contraseñas en Windows. Usar una contraseña> 14 caracteres para evitar el almacenamiento de contraseñas heredadas, por ejemplo. Las frases de contraseña son buenas opciones.
Shiv
1

Estás haciendo la pregunta equivocada, en mi humilde opinión. Si alguien irrumpe en su máquina de alguna manera y encuentra un archivo RDP que le permite conectarse a una máquina remota sin proporcionar una contraseña, entonces el daño ya está hecho. No solo eso, podría usar la sesión remota para crear un nuevo usuario para sí mismo, o incluso cambiar la contraseña en la actual.

La solución es nunca guardar contraseñas dentro del archivo RDP y proteger su máquina local. Ah, y en base a experiencias anteriores con el software de MS, no me sorprendería totalmente si mantuviera la contraseña en texto plano o ligeramente en alguna parte. Sea testigo de su tratamiento de las contraseñas de red wifi en Windows 7.

Travelling Tech Guy
fuente
Gracias por la respuesta y los puntos válidos. He actualizado mi pregunta para aclarar el ángulo desde el que me estoy acercando a esto.
DuckMaestro
3
Windows 7 no almacena ninguna contraseña en el archivo RDP, y el hashing simplemente no tiene sentido (debe ser descifrable cuando se autentica). La creación de un nuevo usuario normalmente requiere derechos de administrador, cambiando una contraseña existente, conocimiento de la anterior.
Grawity
1
Si la alternativa es almacenar la contraseña en un administrador de claves, ¿hace alguna diferencia si se almacena en RDP cuando alguien tiene acceso local a la máquina? Recordar estas contraseñas simplemente no es una opción razonable.
Joel McBeth