OneDrive: ¿Cómo se puede usar incorrectamente la función "Recordar mis credenciales" de la seguridad de Windows?

Navega tus respuestas
0

Aquí estoy ingresando credenciales para OneDrive:

SiseleccionoRecordarmiscredenciales,asumoqueelcódigomaliciosoqueseejecutacomomicuentadeusuariopuedeobteneraccesoaalgúntokenylousoparainteractuarconOneDrivecomosifueranyo.

Mipreguntaes,¿quémásalládeesopuedehacerelcódigomalicioso(queseejecutacomomicuentadeusuario)conlascredenciales"recordadas"?

  • ¿Se pueden usar para autenticarse como mi usuario para servicios que no sean OneDrive?
  • ¿Se pueden usar desde otra PC?
  • ¿Alguna vez vencen?
  • ¿Se pueden copiar en otro lugar para realizar un ataque de fuerza bruta sin conexión para obtener las credenciales originales?
pregunta Michael Kropat 05.09.2017 - 15:52
fuente

1 respuesta

2

Supongo que lo que se recuerda es el token de actualización OAuth2.

En este caso,

  • no, no se puede utilizar para otros servicios.
  • sí, se puede usar desde otra PC. Desde el lado del servidor, no hay diferencia. Tal vez una IP diferente, pero esa también podría ser su "primera" computadora
  • este token es válido durante al menos 6 meses en Onedrive ( enlace ) (aunque está cambiando tu contraseña la invalida inmediatamente)
  • no, el token solo, sin acceso al servidor, no está relacionado con el nombre de inicio de sesión y la contraseña.
respondido por el user155462 05.09.2017 - 16:16
fuente

Lea otras preguntas en las etiquetas

¿Es la contraseña menos el inicio de sesión principal? ¿Qué sitios están usando Password Less Login? [cerrado] ¿Es la desaprobación sha1 un problema para los certificados ** de cliente **?