Безопасное использование диспетчера учетных данных

Credential Manager – механизм для хранения паролей, сертификатов при подключении к удаленным рабочим столам, веб-сайтам и программному обеспечению, а также учетных данных Windows.

Механизм сохраняет две разновидности информации – веб-учетные данные и учетные данные Windows. Все данные пользователя, приложений, которые запускались, а также все обновления паролей и ключей будут хранится в Credential Manager.

Диспетчер учетных данных Windows 7 стал первой версией решения. Похожая функция была и в предыдущих версиях Windows, но без возможности восстанавливать и создавать резервные копии паролей.

Ключница

Credential Manager, как одна большая ключница в которой пользователь хранит все логины, пароли и ключи. Однако, вместе с удобством возникают риски. Как в жизни, кошелек с банковскими картами или ключницу могут украсть преступники, так и здесь все ключи и пароли могут стать доступны злоумышленникам.

Чтобы знать, какие данные уже сохранил Credentials manager, необходимо ответить на вопрос – где находится Credential manager Windows 10. Данные расположены в папке учетных данных: %Systemdrive%\Users\<Username>\AppData\Local\Microsoft\Credentials.

Дмитрий Овчинников

Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»

Диспетчер учетных данных представляет собой удобный механизм для хранения паролей при подключении к удаленным рабочим столам, веб-сайтам и программному обеспечению. По факту, его можно представить как одну большую ключницу от всех ваших учетных записей. Но доступ к ключам и паролям может попасть в руки злоумышленникам.

Как администрировать учетные данные:

1. Откройте панель управления Windows
2. Наберите в строке поиска Credential Manager или диспетчер учетных данных
3. Выберите панель управления диспетчера учетных данных
4. Определите какими данными вы хотите управлять – учетные данные для интернета или учетные данные Windows. Выберите соответствующее поле.

Если выбрать управление данными Windows, то можно управлять учетными записями, сертификатами, архивировать или восстанавливать учетные данные.

В разделе учетные данные для интернета можно управлять паролями от веб-сайтов, также восстанавливать, менять или удалять.

Безопасность

При негативном стечении обстоятельств, злоумышленники, получив доступ к компьютеру, смогут увидеть данные учетных записей, сохраненные в диспетчере Credential Manager. С помощью различных утилит по типу Mimikatz данные и пароли могут быть расшифрованы и использоваться атакующим в преступных целях.

Диана Кожушок

Аналитик-исследователь киберугроз в компании R-Vision

Также не стоит забывать про различное вредоносное ПО, способное потенциально получать доступ к сохраненным учетным данным. И сделать это возможно, как и с помощью различных незакрытых уязвимостей, так и обманным путем из рук пользователя. Если устройство доменное, то администраторы тоже имеют возможность доступа. Или даже другие пользователи, если им были выданы соответствующие доступы.

Чтобы свести к минимуму риски, связанные с диспетчером данных, прежде всего, надо обезопасить основную учетную запись, под которой вы входите в операционную систему. На нее необходимо установить надежный пароль, в противном случае любой желающий получить доступ к компьютеру и сможет воспользоваться сохраненными паролями.

Второй риск, который следует предусмотреть при работе с Windows Credentials – возможное удаленное подключение злоумышленников. Поэтому обязательно нужно отключить или ограничить возможность удаленных подключений к компьютеру.

Кроме того, преступники могут запустить вредоносное ПО или скрипты на рабочей станции. Чтобы это предотвратить используйте антивирусное ПО и не запускайте скрипты из недоверенных источников, в особенности не понимая, что он выполняет.

Как обезопасить себя при использовании диспетчера учетных данных:

1. Установите надежный пароль на основной учетной записи и не сообщайте его никому.
2. Отключите или ограничить возможность удаленных подключений к компьютеру.
3. Используйте антивирусное ПО.
4. Не запускайте скрипты из недоверенных источников.
5. Включите двухфакторную аутентификацию для важных сайтов.
6. Вовремя устанавливайте обновления безопасности.

Дмитрий Овчинников

Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»

Не храните пароли от важных вещей и если есть возможность, то обязательно включите двухфакторную аутентификацию для ключевых веб-сайтов. Если у вас остались какие-то сомнения, то просто отключите этот функционал у себя в операционной системе и всегда снимайте галочку с «Запомнить пароль», ведь аналоги диспетчера существуют в веб-браузерах и в самом ПО. На чужом компьютере используйте опцию «Приватного просмотра» для посещения веб-сайтов. Это позволит не сохранять пароли в куки и не позволяет сохранять историю посещений.

Каждый день сервисов, сайтов, приложений, которые использует современный человек становится все больше, поэтому все равно придется использовать хранилище для паролей, ключей и других данных доступа. Эксперты считают, что один из лучших вариантов – это не передавать свою базу паролей в различные облачные сервисы и не располагать ее на общих сетевых ресурсах компании, а хранить их в зашифрованным виде у себя локально и делать резервные копии.

Личное лучше оставить дома

Для большинства из нас вход под личным логином и паролем на различные веб-сайты, особенно социальные сети, с рабочих устройств стало само собой разумеющимся действием. Без этого сложно представить работу, например SMM-менеджера или маркетолога. Но это представляет настоящую угрозу личным данным пользователя.

Диана Кожушок

Аналитик-исследователь киберугроз в компании R-Vision

Использование рабочего устройства для решения личных задач уже давно что-то обыденное и повсеместное для большинства работников. Но тут сразу хотелось бы отметить, что поскольку эти устройства принадлежат компании, то она вправе получить доступ к любой информации, расположенной на нем, как бы это не звучало неэтично. В корпоративных средах могут использоваться мастер пароли и учетные записи администраторов, которые позволяют получить доступ к просмотру любого пароля.

При халатном обращении со своими данными на постороннем устройстве, злоумышленники смогут получить данные не только от учетных данных Windows, но и от веб-сайтов. Например, другой сотрудник, сев за ваш компьютер, с помощью Credential manager может увидеть пороли от сайтов, на которые вы заходили через личные учетные записи.

Для это ему нужно будет просто найти необходимый сайт в списке учетных данных для Интернета, открыть элемент и нажать «Показать» рядом с полем пароля. После этого системы сделает запрос на проверку права доступа, и пользователь увидит пароль прямо в Web Credentials.

Дмитрий Овчинников

Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»

Никогда и не при каких обстоятельствах, нельзя использовать технику, которой вы не доверяете. Кроме диспетчера учетных данных, ваши пароли могут быть украдены простым кейлоггером. Вообще, заведите себе привычку использовать только свои устройства или те, которым вы точно доверяете. Тот факт, что вы доверяете своему другу или члену семьи, совсем не означает, что его устройство безопасно. Безопасным может быть только то, что вами лично проверено. В корпоративной среде я рекомендую использовать аутентификацию по сертификатам с использованием смарт-карт. Это значительно снижает риски несанкционированного доступа к корпоративным данным.

 Если есть большая необходимость заходить в личные аккаунты на чужом компьютере, то лучше использовать опцию «Приватного просмотра» для посещения веб-сайтов. Это позволит не сохранять пароли в куки и не позволяет сохранять историю посещений. В личные учетные записи Windows заходить крайне нежелательно.

Выводы

Credentials manager крайне удобный механизм, позволяющий не вводить каждый раз данные от учетных записей для входа в операционную систему, на веб-сайты и в приложения. Но требующий соблюдения определенных мер безопасности, в особенности при работе с чужими рабочими устройствами.

Комфорт усыпляет нашу бдительность и вот мы уже спокойно заходим с рабочего компьютера в личный кабинет электронного кошелька, где на счетах хранятся наши средства. Также беззаботно мы, увольняясь с работы, просто выходим из личного кабинета на сайте и не задумываемся о том, что данные любой желающий сможет найти либо в диспетчер учетных данных или в ключнице браузера.

Ко всем технологиям, связанным с сохранением и обработкой личных данных нужно относится с ответственностью и должным образом следить за тем, чтобы посторонние люди не получили доступ к нашим данным.