TL; DR: las contraseñas de Windows tienen muy poco que ver con el cifrado de la unidad. Si aprende la contraseña Y obtiene la clave de descifrado desbloqueada, puede obtener acceso a los datos cifrados. Sin embargo, no es fácil aprender la contraseña ni obtener la clave de descifrado desbloqueada. Dicha clave es difícil de obtener con EFS y casi imposible de obtener con Bitlocker.
Ahora, ponte cómodo. Aquí vienen los hechos que solicitó.
Comencemos hablando de las contraseñas de Windows. Todas las versiones modernas de las contraseñas de Windows almacenan en forma irreversible llamada hash unidireccional. En el momento del inicio de sesión, los sistemas Windows tomarán una contraseña escrita, la ejecutarán a través de una función hash y compararán el hash resultante con el asociado con el usuario. Nadie puede convertir el hash en una contraseña. Un pirata informático con una copia de un hash de contraseña puede intentar ejecutar todas las contraseñas posibles en el mundo a través de una función de hash y compararlo con el hash para intentar “adivinar” la contraseña. A ese proceso lo llamamos hackeo de contraseña de fuerza bruta. Para defenderse de esta clase de ataque, los administradores de TI solicitan a los usuarios que establezcan contraseñas largas y mixtas que incluyan números y símbolos, ya que ese tipo de contraseñas son difíciles de adivinar en un ataque de fuerza bruta.
- ¿El antivirus roto realmente funciona como un original (pago)? ¿Cómo se puede evitar que las autoridades lo incluyan en la lista negra mientras se usa un antivirus crackeado?
- ¿Qué es una contraseña maestra y para qué se utiliza?
- ¿Por qué los sitios web supuestamente seguros (https) aparecen en mi computadora portátil de trabajo como inseguros en todos los navegadores?
- Cómo solucionar un agujero de seguridad en Chrome que me obliga a hacer clic en el único botón en una ventana emergente de JavaScript para que desaparezca
- Cómo convertirse en un especialista en seguridad (hacker) o un desarrollador de Google
Los hashes de contraseñas se almacenan en la base de datos del Administrador de cuentas de seguridad de Windows (SAM) en forma débil (hash LM) y en forma fuerte (hash NT). Los hash LM más débiles permanecen en su lugar para permitir la conectividad de red a sistemas Windows 9x más antiguos. Desafortunadamente, los hash de LM se pueden calcular rápidamente, lo que facilita la prueba de un gran número de contraseñas en un tiempo razonable. Los hashes NT requieren mucha más potencia de CPU para probar cada contraseña individual, lo que hace que los ataques de fuerza bruta sean menos atractivos. Microsoft recomienda deshabilitar LM Hash si no es necesario conectarse con sistemas heredados.
Difícilmente llamaría a esto “notoriamente fácil de hackear”, ya que es necesario haber comprometido el sistema de antemano y recogido el SAM para llevar a cabo tal ataque.
Fuente: https://support.microsoft.com/en…
Conmigo hasta ahora? OK, sigamos adelante.
Existen herramientas que puede usar para iniciar un sistema Windows desde un CD o una memoria USB que le permiten omitir la seguridad del sistema operativo y del sistema de archivos siempre que el sistema resida en discos sin cifrar. Una vez que se inicia el sistema operativo alternativo, puede copiar la base de datos de usuarios de SAM y aplicar el pirateo de contraseñas de fuerza bruta, o simplemente puede borrar la contraseña de administrador en el SAM e iniciar en la máquina con todos los privilegios sin usar contraseña. Ejecutar tales herramientas requiere acceso físico a la máquina, por lo que no es TAN fácil. Pero aún así, esa es una manera de entrar. Una vez que ingrese, puede copiar todos los datos de usuario que desee.
Para evitar un compromiso de los datos, desea cifrar el sistema de archivos.
El Sistema de cifrado de archivos (EFS) fue el primer intento de Microsoft para solucionar el problema. EFS solo protege los datos del usuario. En EFS, los archivos se cifran con una clave de cifrado de archivos simétrica (FEK) que se cifra con una clave pública por usuario. El FEK solo se puede reconstituir con la clave privada correspondiente, que se desbloquea matemáticamente solo con la contraseña del usuario. La clave privada protegida se almacena en el SAM pero la contraseña no; solo el hash. El FEK se desbloquea en el momento de inicio de sesión cuando el usuario ingresa la contraseña, ya que el SAM no almacena la contraseña. Si se roba el SAM, la clave privada no se puede desbloquear sin la contraseña del usuario. Si la contraseña del usuario se restablece o borra sin actualizar la contraseña en la clave privada, la clave privada nunca podrá volver a desbloquearse. Como resultado, el FEK nunca se puede reconstituir. En ese caso, los archivos se pierden para siempre. Para protegerse contra esta pérdida, los usuarios pueden realizar copias de seguridad de FEK sin cifrar en un lugar seguro y fuera de línea.
Entonces, para revisar, debe tener el texto cifrado Y la clave Y la contraseña de usuario para acceder (descifrar) los datos. Si robas el SAM, solo tienes la clave bloqueada y la contraseña cifrada. Todavía tienes bastante trabajo por delante. Si solo tiene el texto cifrado y la clave de cifrado o el texto cifrado y la contraseña, no está en ninguna parte.
Proteger el SAM sigue siendo el punto débil. ¿Cómo puedo cifrar el SAM y protegerlo contra el robo? Desafortunadamente, ahora se enfrenta a un problema de “huevo y gallina”: ¿cómo puede desbloquear el disco con una contraseña cuando el hash de la contraseña vive dentro del disco bloqueado? Del artículo de EFS vinculado anteriormente: “Las carpetas del sistema no se pueden marcar para el cifrado. Las claves EFS no están disponibles durante el proceso de arranque; por lo tanto, si los archivos del sistema estuvieran encriptados, el archivo del sistema no podría arrancar “.
Pues mierda. Puedo proteger el contenido de los archivos y directorios de los usuarios, pero todavía estoy atascado para proteger el SAM mismo.
Ingrese BitLocker. Bitlocker cifra todo el disco, incluido el SAM. Para utilizar Bitlocker, su hardware debe incluir un Módulo de plataforma confiable (TPM) que cumpla con la versión 1.2 o superior de la especificación. El TPM es un microprocesador pequeño y seguro cuyo único trabajo es almacenar y proteger las claves de cifrado. El módulo almacena las claves y solo las libera al sistema operativo si se cumplen ciertas condiciones, que pueden incluir una verificación de integridad, una contraseña, un PIN, una clave USB separada con más información o una combinación de las anteriores. La contraseña de Windows puede o no ser parte de ese baile, dependiendo de su política de seguridad.
Incluso puede activar Bitlocker sin un módulo TPM (Cómo usar BitLocker sin un módulo de plataforma confiable (TPM)), pero esto forzaría un inicio de sesión en cada arranque ya que el módulo TPM no ha almacenado las claves.
Recuerde que la desventaja del cifrado es que si olvida su contraseña, es como si su disco se incendiara. Debe administrar y hacer una copia de seguridad de sus claves con cuidado o perder sus datos. No hay puerta trasera para unidades cifradas. Este es el precio de la protección.
Tenga en cuenta que algunos sistemas como iCloud y la cuenta de Microsoft le permiten restablecer contraseñas y recuperar unidades cifradas. Lo hacen administrando la copia de seguridad de la clave por usted. La ventaja es que es más difícil perder datos, pero la desventaja es que terceros pueden acceder a sus claves de cifrado.
Elija sabiamente sus compensaciones de amenazas.