Z systemów Windows 7 oraz Windows 8 i Mac OS X można łatwo wyekstrahować podpowiedzi do haseł użytkowników. Ułatwia to bardzo zadanie hackerom, którzy mogą zdobyć hasła użytkownika do systemu operacyjnego oraz aplikacji – poinformowały amerykańskie media.
Analitycy z należącego do firmy TrustWave laboratorium badania oprogramowania SpiderLabs w trakcie badania systemów operacyjnych odkryli poważny błąd w najnowszych systemach operacyjnych Microsoft Windows 7 oraz wersji testowej nie wypuszczonego jeszcze na rynek Microsoft Windows 8 –. poinformował portal technologiczny The Register.
Badacze, w trakcie analizowania systemów pod kątem zabezpieczenia haseł i ich skrótów, znaleźli klucz o nazwie "UserPasswordHint" w rejestrze systemowym. Zawiera on podpowiedzi do haseł użytkowników w postaci zakodowanej przez dodanie pól pustych i zerowych, ale nie zaszyfrowane.
Jak stwierdza magazyn Wired, analitycy skonstruowali nawet prosty, bo zawierający 8 linii skrypt, za pomocą którego można ustalić tekstowy zapis podpowiedzi hasła.
Nawet przybliżenie zapisu hasła może bardzo ułatwić hackerom odczytanie go w całości poprzez atak typu brute-force (atak, gdzie odgaduje się kolejne możliwe kombinacje na podstawie znanych już elementów hasła) lub poprzez inżynierię społeczną np. podawanie się przez hackera za przedstawiciele firmy-dostawcy Internetu, w e-mailu do użytkownika.
Jak twierdzi ekspert bezpieczeństwa Graham Lee z TrustWave, tego typu błąd występuje także w systemie Mac OS X oraz iOS. Systemy te są zainstalowane w notebookach Apple oraz w znanym smart fonie tej firmy –. iPhone.
W opinii analityków z firmy F-Secure, którą przytacza magazyn Wired, zabezpieczeniem dla użytkownika przed odgadnięciem hasła jest, jeśli będzie ono „luźno związane z pytaniem stanowiącym podpowiedź”. nie zaś będzie odpowiedzią na to pytania.
