sabato 11 settembre 2010

Dove memorizza Windows le password?

Molte persone mi chiedono informazioni relativamente a come windows conserva le password delle più diffuse applicazioni.
In questo post cercherò di dare una risposta indicandovi la posizione nel Registro di sistema o del file di  in cui le applicazioni Windows memorizzano le password.
Così ho preparato un elenco di percorsi di memorizzazione delle password per le applicazioni e componenti di Windows più popolari.



Siate consapevoli che, anche se si conosce la posizione delle password salvate, questo non significa che siano leggibili in chiaro, infatti per lo più sono crittografate con sistemi propetari in più non è possibile copiarle da un computer ad un altro. Molte applicazioni memorizzano le password in modo tale da impedire il loro trasferimento ad un altro computer o ad un'altro profilo utente. Tuttavia, è possibile utilizzare queste informazioni per rimuovere i password salvate nel sistema.

Elenco applicazioni e percorsi:

  • Windows password di rete (XP/Vista/2003): Quando ci si connette al file system di un altro computer della rete (qualcosa come \ \ MyComp\ MyFolder), Windows vi permette di salvare la password. Se si sceglie di salvare la password, la password cifrata viene memorizzata in un file di credenziali. Il file viene memorizzato nella credenziale seguenti posizioni:
  • Windows XP/2003: %USERPROFILE%\Impostazioni locali\Dati applicazioni\Microsoft\Credentials\[User   SID]\Credentials 
  • Windows Vista:  %USERPROFILE%\Impostazioni locali\Dati applicazioni\Roaming\Microsoft\Credentials
È possibile utilizzare il mio RecoveryAllPassword per visualizzare tutte le password memorizzate in questi file Credenziali.
  • Internet Explorer 4,00-6,00: Le password sono memorizzate in un percorso segreto nel Registro di sistema conosciuto come "Protected Storage". La chiave di base del Protected Storage si trova sotto la seguente chiave: "HKEY_CURRENT_USER \ Software \ Microsoft \ Protected Storage System Provider ". Per visualizzare le sottochiavi di questa chiave in RegEdit, è necessario loggarsi come utente SYSTEM. (guarda qui come fare) non sarà possibile comunque guardare la password in chiaro perché cifrata. Inoltre, questa chiave non può facilmente essere trasportata da un computer all'altro, come si fa per tutte le chiavi regolari.
È possibile utilizzare il mio RecoveryAllPassword per visualizzare tutte le password memorizzate in questi file Credenziali.
  • Internet Explorer 7,00-8,00: Le nuove versioni di Internet Explorer memorizzano le password in 2 sedi diverse. Le password del completamento  automatico vengono memorizzate nel Registro di sistema in HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2. Le password di autenticazione HTTP sono memorizzate nel file delle credenziali in %USERPROFILE%\Dati applicazioni\Microsoft\Credenziali, insieme con le password di login del computer della LAN ed altre password.
È possibile utilizzare il mio RecoveryAllPassword per visualizzare tutte le password memorizzate in questi file Credenziali.
  • Firefox: le password vengono memorizzate in uno dei seguenti file: signons.txt, signons2.txt e signons3.txt (dipende dalla versione di Firefox) Questi file password si trovano all'interno della cartella del profilo di Firefox, in [Windows profilo] \ Application Data \ Mozilla \ Firefox \ Profiles \ Nome Profilo, inoltre, key3.db, che si trova nella stessa cartella, viene utilizzata per la cifratura / Descrizione delle password.
  • Google Chrome browser Web: Le password vengono memorizzate in %USERPROFILE%\Impostazioni locali\Dati applicazioni\Google\Chrome\User Data\Default\Web Data (questo è il nome del file database SQLite che contiene le password criptate e altre cose)
  • Opera: Le password sono memorizzate in file wand.dat, che si trova sotto %USERPROFILE%\Impostazioni locali\Dati applicazioni\Google\Chrome\User Data\Default\Web Data\Opera\Opera profilo
  • Outlook Express (tutte le versioni): Le password POP3/SMTP/IMAP Outlook Express sono memorizzate anche nella Protected Storage, come le password di vecchie versioni di Internet Explorer.
  • Outlook 98/2000: Le vecchie versioni di Outlook memorizzano le password POP3/SMTP/IMAP in Protected Storage, come le password di vecchie versioni di Internet Explorer.
  • Outlook 2002-2008: tutte le nuove versioni memorizzano le password di Outlook nella stessa chiave del Registro di sistema delle impostazioni dell'account. Gli account sono memorizzati nel Registro di sistema in HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\[Profile Name]\9375CFF0413111d3B88A00104B2A6676\[Account Index] Se si utilizza Outlook per la connessione di un account sul server di Exchange, la password viene memorizzata nel file delle Credenziali, insieme con le password di login del computer della LAN.
 È possibile utilizzare il mio RecoveryAllPassword per visualizzare tutte le password di Outlook 2002-2008.
  • Windows Live Mail: Tutte le impostazioni dell'account, comprese le password criptate, sono memorizzati in %USERPROFILE%\Impostazioni locali\Dati applicazioni\Microsoft\Windows Live\ [Nome account Mail] Il nome del account è un file XML.
 È possibile utilizzare il mio RecoveryAllPassword per visualizzare tutte le password di  Windows Live Mail.
  • Thunderbird: Il file di password si trova sotto %USERPROFILE%\Impostazioni locali\Dati applicazioni\ Thunderbird \ [Nome profilo] Si dovrebbe cercare un nome di file con estensione. s.
  • Google Talk: Tutte le impostazioni dell'account, comprese le password criptate, sono memorizzate nel Registro di sistema in HKEY_CURRENT_USER\Software\Google\Google Talk\Accounts\[Account Name]
  • Google Desktop: password di e-mail sono memorizzate nel Registro di sistema in HKEY_CURRENT_USER\Software\Google\Google Desktop\Mailboxes\[Account Name]

  • MSN / Windows Messenger versione 6.x : Le password vengono memorizzate in una delle seguenti posizioni:
  1. Chiave di registro: HKEY_CURRENT_USER Software \ Microsoft \ MSNMessenger
  2. Chiave di registro: HKEY_CURRENT_USER Software \ Microsoft \ MessengerService
  3. Nelle credenziali di file, con voce denominata come "* Passport.Net \ \". (Solo quando il sistema operativo è XP o superiore)
  • MSN Messenger versione 7.x: Le password vengono memorizzate in HKEY_CURRENT_USER\Software\Microsoft\IdentityCRL\Creds\[Account Name]
  • Windows Live Messenger versione 8.x/9.x: Le password vengono memorizzate nel file delle credenziali, con nome di voce inizia con "WindowsLive: name =". 
È possibile utilizzare il mio RecoveryAllPassword per visualizzare tutte le password memorizzate in questi file Credenziali.

  • Yahoo Messenger 6.x: La password viene memorizzata nel Registro di sistema in HKEY_CURRENT_USER \ Software \ Yahoo \ Pager ("valore EOptions stringa")
  • Yahoo Messenger 7.5 o versione successiva: La password viene memorizzata nel Registro di sistema in HKEY_CURRENT_USER \ Software \ Yahoo \ Pager - "ETS" valore. Il valore memorizzato in "valore ETS" non possono essere recuperati.
  • AIM Pro: Le password sono memorizzate nel Registro di sistema, in HKEY_CURRENT_USER \ Software \ AIM \ AIMPRO account \ [Nome]
  • AIM 6.x: Le password sono memorizzate nel Registro di sistema, in HKEY_CURRENT_USER \ Software \ America Online \ AIM6 password \
  • ICQ Lite 4.x/5.x/2003: Le password sono memorizzate nel Registro di sistema, in HKEY_CURRENT_USER \ Software \ Mirabilis \ ICQ \ NewOwners \ [ICQ] (valore MainLocation)
  • ICQ 6.x: l'hash della password viene memorizzata in %USERPROFILE%\Impostazioni locali\Dati applicazioni\ICQ\ nome utente\Owner.mdb (Access Database) (l'hash della password non può essere recuperato)
  • Digsby: La password principale di Digsby è archiviato in %USERPROFILE%\Impostazioni locali\Dati applicazioni\ Digsby\ digsby.dat tutte le altre password vengono memorizzate nei server Digsby.
  • PaltalkScene: Le password sono memorizzate nel Registro di sistema, in HKEY_CURRENT_USER \ Software \ Paltalk [account] \ Nome.
Con questo tutorial ho cercato di scendere un pò nei meandri segreti di Windows, per tutti quelli che vogliono approfondire di seguito elenco il link Microsoft:  http://support.microsoft.com/?ln=it
Arrivederci al prossimo Tutorial 
Michele Balzano

7 commenti:

  1. Sarei felice di farti una donaziona non appena riesco a capire il pieno funzionamento del tuo "recoveryallpassword".ti spiego il mio problema: vorrei recuperare password non salvate in automatico ma che di sicuro saranno salvate in qlc registro anche se la tua spiegazione è molto chiara non riesco a trovarla,e poi un altra cosa: ho usato il tuo file fbrecpwd e funziona,ma ho visto che funziona solo una volta,vorrei disinstallarlo per poi rimetterlo grazie in anticipo e a buon rendere se mi vuoi scrivere in privato questa è la mia e-mail : magy.cervantes@hotmail.it

    RispondiElimina
  2. ciao, ho un pc con windows 7 . se non è stato selezionato il salvataggio automatico delle password, restano comunque da qualche parte? stefano.frailis@effesseheat.com

    RispondiElimina
  3. Ciao, vorrei farti un paio di domande se ci riesci fami sappere il tuo indirizzo mail oppure un nr di telefono alain_2912@yahoo.it. Grazie

    RispondiElimina
  4. Buongiorno, ho difficoltà a scaricare il file ZIP di RecpoveryPassword.
    Vi sono problemi tecnici?

    RispondiElimina
  5. Buongiorno,
    ho un quesito a mio avviso interessante ai fini della sicurezza. Mesi addietro la mia ragazza ha utilizzato il mio PC portatile, loggandosi con le sue credenziali di facebook, utilizzando Internete Explporer 8 sovrascrivendo la mia autenticazione memorizzata in automatico.
    Detto ciò, ogni volta che entravo (in automatico ossia senza rimettere le credenziali) sul profilo mio di facebook, si apriva in automatico il profilo della mia ragazza anche spegnendo e accendendo il PC Poichè non ho mai sovrascritto le mie credenziali precedenti.
    Incuriosito da questa cosa, ho utilizzato uno di questi software di recovery password che mi segnalavano invece le credenziali di utente e password in chiaro del mio di profilo facebook (mentre invece visualizzavo sempre il profilo della pagina facebook della mia ragazza).
    Come è possibile una cosa del genere? Ora ovviamente sono loggato con le mie credenziali. Ma mi chidevo come mai è accaduto ciò? Se entrassero altre persone le password di altri profili facebook rimangono comunque in qualche registro o cookie?
    grazie per eventuale risposta.

    RispondiElimina
    Risposte
    1. amico mio ai mio problema se trovi calcosa cecemace@yahoo.it

      Elimina
    2. magari trovassi qualcosa caro cecemace, ma nessuno veramente bravo è in grado di darmi risposta, anche se a dire il vero non ho provato tanto a fare ricerche.... è l'unico blog dove ho chiesto lumi...se hai notizie fresche su questo tipo di problema la mia mail è spakman4u@virgilio.it....saluti

      Elimina

Post più popolari