指纹识别系统也能泄露密码

位于俄罗斯的资讯安全公司ElcomSoft表示,大部分笔记本电脑所使用的指纹识别系统所搭配的管理软件UPEK Protector Suite,使用接近明码的方式将数据储存在Windows登录文件(registry)内,可能导致用户的密码外泄。

UPEK公司在2010年被AuthenTec并购,之后AuthenTec以另一套管理软件TrueSuite取代Protector Suite,但大部分的用户仍继续使用UPEK Protector Suite。

企业通常透过管理原则设定,不准用户让Windows系统记忆账号密码,需用户手动登入。但配有指纹识别系统的笔记本电脑可以透过指纹扫描,由管理软件协助用户登入系统。

ElcomSoft 表示,只要使用过UPEK Protector Suite登入Windows的账号密码都会以接近明码的方式储存,因此其它人只要有机会使用到该电脑,就可能从Windows的登录文件中取得数据,并 在往后以账号密码登入该电脑或企业内部网络,因此ElcomSoft建议用户将Protector Suite软件内所有的账号都清除。

另外,Windows使用EFS加密档案保护数据,因此当设备或随身盘遗失时,EFS加密档案的内容不致被读取,除非拥有加密该档案的用户Windows账号密码。而UPEK Protector Suite的作法可能让EFS加密档案丧失保护的功能。

AuthenTec公司的客户有宏碁、华硕、Dell、Gateway、联想、微星、NEC、三星、Sony和Toshiba等。

苹果(苹果)上个月提议以溢价58%并购AuthenTec,七月底AuthenTec董事会已经批准该并购案,若股东大会也通过就会并入苹果。