ElcomSoft, руска компания, разкрива голям пропуск в защитата на UPEK Protector Suite, популярен четец на биометрични данни за сигурност, който се внедрява в почти всяка компютърна машина, включително Acer, Asus, Dell, Lenovo, MSI, Samsung, Sony and Toshiba. Според изследователите, пропускът прави софтуера за четене на пръстови отпечатъци по-малко сигурен от стандартната опция за защита на паролата в Windows.
ElcomSoft анализират различни машини, оборудвани с четците на пръстови отпечатъци UPEK, за да открият, че четецът всъщност съхранява паролите за Windows в регистъра си, но данните не са криптирани. Паролите са частично скрити, но не и криптирани, което позволява на всеки с физически достъп до машината да може да извлече всички пароли, които се достъпват с пръстов отпечатък – нещо, което в противен случай не би било възможно.
"Windows никога не съхраняват паролите с текст освен, ако потребителят не е позволил автоматичен логин. Това обаче не се насърчава изобщо от Microsoft," отбелязват още от ElcomSoft. "Никой корпоративен потребител не би използвал опцията за автоматичен логин, който се забранява от корпоративната политика за сигурност ." Разбира се, притеснението произтича от факта, че верифицирането с пръстов отпечатък е като цяло приемлива форма на сигурност в корпоративна обстановка.
"Всеобщо прието, че биометричният логин е може би по-сигурен и от този, базиран с парола.“, продължават дискусията от ElcomSoft. UPEK Protector Suite просто съхранява оригиналната парола за дадения Windows профил, като това позволява на всеки да придобие данните от компютърното устройство.
Компанията отбелязва, че това не е проблем за хората, които не са с криптирани харддискове. Някой с физически достъп до некриптирано устройство може да достъпи съдържанието му без парола при всички случаи, независимо дали ще зареди ОС, ще прикачи устройството на друга машина или ще използва различни други методи. Потребителите, които разчитат на Windows EFS encryption са тези, които трябва да се тревожат най-много.
ElcomSoft призовават всички потребители на UPEK Protector Suite да забранят опцията за логон на Windows, която трябва да изчисти всички съхранени пароли в профила. Компанията е уведомила UPEK за проблема и въпреки че отказва да предостави данни от разследването, руснаците са подготвили демо, което показва частични детайли за логон на акаунт с включен UPEK-enabled account. Демото няма да бъде показано пред широка аудитория.