Пароль від агента блог михаила флёнова
Моя дружина постійно втрачає паролі від всього підряд. У мене іноді складається враження, що вона взагалі не намагається їх запам'ятовувати. А навіщо, адже є чоловік. Кілька днів тому вона мені повідомила, що вона в черговий раз забула пароль від Mail.ru агента. Сучасні програми стали добре ставитися до безпеки і пройшли ті часи, коли паролі так легко перебували в реєстрі у відкритому вигляді або шифрувалися найпростішими XOR з чимось простим. Нічого не пообіцявши дружині, я все ж взявся за пошуки проблем.
Перше, що я став переглядати - реєстр. Сучасні правила побудови програм вимагають збереження конфігураційної інформації в реєстрі і це перше місце, де слід шукати щось подібне. Конфігурація облікових записів дійсно була в реєстрі, але тільки паролі (якщо я правильно визначив їх розташування) були зашифровані. Чим? Так фіг його знає.
Не сподіваючись ні на що хороше, я зважився перевірити вікно введення пароля в самій програмі. Запустив агента і увійшов в вікно конфігурації. Знайшов поле для введення пароля і нацькував на нього мою програму, яку я описував в книгах:
В обох книгах був описаний один і той же приклад, який називався «Пароль під зірочками», просто написаний він був на Delphi або C ++. Принцип роботи простий - знайти за вибором користувача поле введення і спробувати змінити символ Password Char, який використовується для приховування символів, що вводять, а точніше видалення його. Якщо в поле вводу є реальний пароль, який просто прихований за допомогою Password Char, то програма відобразить його. Моє здивування не знала меж, тому що пароль там був. Причому реальний.
Коли я видавав другі видання книг, то навіть збирався викинути приклад «Пароль під зірочками» або замінити його на щось інше. Я просто не очікував, що в сучасних програмах досі ще паролі банально ховаються. Це абсолютно небезпечно і говорить про те, що пароль в реєстрі зашифрований оборотним чином, хоча повинен бути тільки хеш (як варіант).
Якщо тобі належить написати в програмі вікно для зміни пароля, то ніколи не розташовуйте в поле поточний пароль, навіть якщо він захований за зірочками. Вікно зміни пароля має складатися з трьох полів вода: одне для введення старого пароля і два для введення нового пароля (двічі, щоб уникнути можливої помилки при введенні). Всі ці три поля повинні бути порожніми і користувач повинен вводити значення, а не використовувати щось за замовчуванням.
З одного боку, розробникам Mail.ru агента бажано підправити програму, а з іншого боку, можна залишити і так. А то якщо наступного разу якщо дружина забуду свій пароль, доведеться колупатися довше, якщо вообщеполучітся визначити пароль.
Пароль від агента, це по суті пароль від Мильники, тобто розробникам краще закрити цю дірку, інакше можлива поява троянчіка, який полює за Мильники громадян.
У перших версія пароль взагалі не шіфровался1 Раніше тим і розважався що тягав паролі і отримував доступ до поштових скриньок. Моя программуліна просто откриваля реєстр брала пароль і скидала від його імені через idSMTP мені з учеткой і паролем. До речі тоді зародилася ідея написання хробака (голосно сказано :) тим же способом з розсилкою тіла поштою контакт листа. Пам'ятаю томився як отримати список контактів. Виявилося все просто створювалися файли в Application Data, точно не пам'ятаю, але імена файлів були приблизно такими [email protected], в них зберігалася історія листування, не суть. Ось таким чином можна було поширювати файли, і головне каспер мовчав, ну якщо тільки не стояла проактивного захисту. воть
Що ж. Безпека сучасних програм не перестає вражати;) Особливо програм, які безпосередньо працюють з Інтернетом.
Хе хе хе)
Я думаю, що ви і після виправлень витягніть пароль)
До речі, у мене є обидві книжки, правда про Delphi старого видання. Класний приклад;)
Є ще один метод. , Виявив не я а Bulka. Знімаєш дамп програми. У ньому все у відкритому вигляді.
Михайло Фленов
Якщо пароль у вікні діалогу просто захований зірочками, то звичайно ж в пам'яті він теж у відкритому вигляді.
У мене питання таке: зірочки і кружечки - це не одне і те ж?
Михайло Фленов
Тоді чому раніше на 98 винде я вдало розкривав зірочки утилітою OpenPass, а на XP ця ж утиліта не розкривала вже кружечки? Довелося шукати софт, знайшов IOpus Password Recovery, який розкриває і ті, і ті. Або ця проблема вже на рівні операційних систем?
Михайло Фленов
Дякую за чітку відповідь! Тепер все стало на свої місця
Михайло, я згоден з радою, покажіть дружині цю програму. Вона безкоштовна, інтуїтивно зрозуміла, російсько-мовний (для вас це не аргумент). Досить запам'ятати лише один головний пароль.
у мене хтось поміняв пароль на старому милі в агента як мені його повернути.
потрібен пароль до агента