Menu
CHIP Speedtest

Pozor na skvělá témata Windows 10: stahování motivů může vést ke krádeži hesel

10.09.2020 12:30 | Jiří Palyza + Přidat komentář
Pozor na skvělá témata Windows 10: stahování motivů může vést ke krádeži hesel

Různá témata a obrázkové motivy se dají snadno použít k optickému vylepšení Windows. A nejde jen o tapety na plochu. Přizpůsobit lze i systémové barvy nebo kurzor. Jeden z bezpečnostních expertů ale poukázal na slabinu, kterou lze zneužít k ukradení hesel.

Windows 10 podporují práci s motivy, což je dobré pro vlastní přizpůsobení vzhledu operačního systému. Některá témata už obsahují a uživatelé je mohou změnit v nastavení systému v části "Přizpůsobení" a "Motivy". Je možné si další motivy stáhnout z Microsoft Storu anebo jiného zdroje.

Bezpečnostní expert, Jimmy Bayne ukázal, jak lze pomocí připravených balíčků témat ukradnout hesla systému Windows. Před několika měsíci to oznámil Microsoftu, oprava pro Windows ale pravděpodobně nebude.

Stáhněte si: 4K témata pro Windows

lighttrails-logo

Light Trails

CHIP hodnotí Dobrý

S bezplatnou sadou témat pro Windows 10 „Light Trails“ můžete na svém počítači se systémem Windows získat úžasné noční záběry v kvalitě 4K.

Stáhněte si
fabrics-logo

Fabrics of India

CHIP hodnotí Dobrý

Bezplatná sada motivů pro systém Windows 10 „Fabrics of India“ nabízí osmnáct 4K tapet na plochu.

Stáhněte si
riverdeltas-logo

River Delta

CHIP hodnotí Dobrý

Téma Windows 10 „River Deltas“ obsahuje deset pozadí plochy ve 4K kvalitě.

Stáhněte si
panoramictril-logo

Panoramic Train Views

CHIP hodnotí Dobrý

S free motivem Windows 10 „Panoramic Train Views“ získáte deset pozadí plochy 4K.

Stáhněte si

Útok "Pass-the-Hash" na heslo Windows

windows10themes1

Soubory s motivy lze propojit s externím obsahem.

Motivy pro Windows 10 jsou obsaženy v malých souborech, které mají koncovku .theme a zpravidla jsou uloženy ve složce "/AppData/Local/Microsoft/Windows/Themes". Jak se ale ukázalo, do těchto souborů s motivy můžete zabalit nejen lokální komponenty, ale také odkazovat na tapety, které jsou umístěny na externích zdrojích. Při integraci sady motivů, ke které dojde po dvojitém kliknutí, Windows tento obsah aktivují. Pokud se jedná o sdílení souborů prostřednictvím síťového protokolu SMB, který se používá pro vzdálený přístup k souborům, přenesou Windows aktuální přístupové údaje: uživatelské jméno a hash hesla.

Útočníci mohou na získaný hash zaútočit pomocí nástrojů na prolamování hesel a pokusit se jej dešifrovat pomocí útoku hrubou silou. U jednoduchých hesel trvá prolomení jen několik sekund, čím je ale heslo složitější, tím je jeho získání pro útočníky složitější. Microsoft zde nevidí žádný problém a odpověděl Baynemu, že opravu neposkytne, protože se jedná o designovou funkci Windows. Uživatelé, kteří to chtějí řešit, se tedy musí chránit sami.

Stáhněte si: KeePassXC

keepassxc-logo

KeePassXC 2.6.1

CHIP hodnotí Velmi dobrý

Bezplatný správce hesel, který lze použít pro bezpečné uchování používaných hesel pro webové služby a aplikace.

Stáhněte si

 

Výhody
integrace do prohlížečů
nezávislý na platformě
nástroj open source

Ochrana před zmanipulovanými tématy

windows10themes2

Nejlepší je používat pouze oficiální témata z Microsoft Store.

Základním opatřením, jak se vyhnout zmanipulovaným tématům, je nestahovat je kdekoliv na internetu. Obchod Microsoft Store by samozřejmě měl být přiměřeně bezpečný, zvlášť pokud používáte pouze oficiální motivy Microsoftu.

Problém se týká hesel pro lokální účty, ale i účty Microsoft. Pokud používáte složitá hesla, může vám s jejich spávou pomoci password manager, jako například KeePassXC. V případě Microsoft účtu si můžete přihlášení zjednodušit také pomocí PIN nebo Windows Hello. Heslo na pozadí pak zůstává komplikované, ale není nutné jej zadávat ani načítat ze správce hesel. Pro doplnění zabezpečení je také dobré aktivovat dvoufaktorové ověřování. Pak bude potřeba si instalovat do smartphonu některou z aplikací, ale například Authy Desktop lze instalovat i na Windows nebo macOS.

Stáhněte si: Authy

authy-logo

Authy – Adroid App 24.3.7

CHIP hodnotí Velmi dobrý

Aplikace pro podporu dvoufaktorového ověřování.

Stáhněte si
authy-logo

Authy Desktop 1.8.2

CHIP hodnotí Velmi dobrý

Desktopová verze aplikace pro dvoufaktorové ověřování.

Stáhněte si

Buďme opatrní

Hesla jsou citlivá a mají pro nás velkou cenu. Zpřístupňují používání mnoha služeb a aplikací od datových úložišť přes komunikační platformy a sociální sítě až po elektronickou poštu. Je dobré je tedy chránit, a to i v případě přizpůsobení vzhledu Windows staženými tématy.

mohlo by vás také zajímat: tip – jak zakázat mapování vaší wi-fi sítě


Komentáře

* Hvězdičkou jsou označeny povinné informace.

Zajímavosti ze světa IT v e-mailu

Stačí odeslat svoji e-mailovou adresu


Odesláním formuláře souhlasíte se zpracováním svých osobních údajů a užitím pro marketingové účely vydavatelství Burda International CZ s. r. o.











Komerční sdělení