¿Qué tan segura es mi clave maestra de DPAPI si habilito el inicio de sesión biométrico?

Question

¿Qué tan segura es mi clave maestra de DPAPI si habilito el inicio de sesión biométrico?

#1 de Thomas Pornin (3 votos)

7

Comprendo que las claves maestras de DPAPI de Windows están cifradas (directa o indirectamente) con la contraseña de inicio de sesión del usuario; consulte, por ejemplo, ¿Funciona DPAPI si un usuario no tiene contraseña de inicio de sesión?

Si entiendo eso correctamente, significa que el acceso físico a la computadora no es suficiente para obtener la clave maestra.

Si habilito el inicio de sesión de huella digital (en Windows 8.1, si es importante), ¿qué cambios? Ahora puedo iniciar sesión con mi contraseña o mi huella digital. ¿Windows almacena una copia duplicada de la clave maestra cifrada con mis datos de huella digital?

La preocupación obvia es que robar mi huella digital y mi computadora es suficiente para descifrar la clave maestra.

EDIT: o, peor aún, dado ¿Es posible obtener una clave de forma confiable a partir de una huella dactilar biométrica? , ¿hay una copia completamente sin cifrar?

windows biometrics windows-dpapi

pregunta Ganesh Sittampalam 08.10.2014 - 20:21

fuente

1 respuesta

Lea otras preguntas en las etiquetas windows biometrics windows-dpapi

¿Cómo mantiene Dropbox los archivos protegidos? ¿Cómo funcionan las memorias USB OTP?

score 3 · Accepted Answer

Si no inicia sesión con una contraseña, sino con una huella digital, entonces DPAPI reproduce una farsa elaborada de claves de cifrado con otras claves, pero la torre de cifrados aún debe terminar en algún momento. Entonces, lo que realmente sucede en ese caso es que alguien que robe su computadora portátil podrá extraer todos sus secretos, aunque con una cantidad considerable de ingeniería inversa y maldiciones (aunque puede ser ampliamente automatizado, por supuesto).

O posiblemente muy fácilmente. De hecho, justo al lado del lector de huellas dactilares hay más de 90 teclas del teclado, cada una de las cuales está adornada con una copia de la huella dactilar de uno de sus dedos. Engañar al lector de huellas dactilares con una impresión de una de sus huellas dactilares puede ser más fácil que atravesar el pantano de capas de cifrado producidas por los desarrolladores de Microsoft. La verdad es que todas estas capas de cifrado son solo humo y espejos: dado que la huella digital en sí misma no se puede convertir en información adecuada para la criptografía (no se puede convertir una huella digital en una clave de manera confiable, a diferencia de una contraseña), entonces su computadora portátil con huella digital el inicio de sesión basado realmente contiene, como es, toda la información necesaria para recuperar sus secretos de DPAPI.