“记住我的密码”背后的故事——保存用户名和密码功能揭秘

系统与网络 “记住我的密码”青后的故事 保存用户名和密码功能揭秘 作者／Damir Dizdarevic 译者／青成 利用 “保存用户名和密码”功能。用户可以不必记住那么多的密码，也就有可能较少使用弱口令。本 文为读者介绍了这个功能。并解释了其如何工作。 记住和管理用于访问各种资源的多个用户名和密码，对 于大多数用户来说都会是个问题。虽然有许多第三方的凭证 管理产品可用，但是，Windows Vista、Windows XP、Win— dows Server 2008和Windows Server 2003具有一个内置功 能，就是能自动管理除了用户 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 的Windows登录凭证之外 的用户名和密码，用于访问需要使用其它用户登录凭证的资 源，这个功能称为 ”保存用户名和密码”。 “保存用户名和密码”能存储本地网络和Internet资源的 访问凭证，这个功能可以创建、管理和使用的凭证类型包括： · 用户名和密码 · ×．509证书 (例如，智能卡 ) · 通行证 (例如，NET通行证 ) 如果使用Windows XP Home版本，需要注意这个Xp版 本只能保存通行证凭证和 RAS／VPN用户名和密码。 下面让我们看看 “保存用户名和密码”功能的好处，它 是如何工作的，以及如何使用这个功能手工管理凭证。 雌 当用户登录本地计算机或域时，都需要提供用户名和密 码，在登录之后，这些凭证就成为用户访问其它本地网络、 远程网络和／或Internet资源的默认安全证明。不过，这些凭 证不足以用于访问用户所需要的所有资源，例如，这些凭证 就不能用于访问需要认证的网站或没有信任关系的域。如果 有许多这样的资源，用户可能就需要许多不同的凭证。同样， 管理员可能需要不同的凭证，例如，他们可能要使用标准的 Windows登录凭证登录网络，但是需要管理员权限在远程服 务器上执行特殊的任务。 不得不记住多个用户名和密码组合可能就会导致糟糕的 密码保护，例如使用弱口令，使用相同的密码，以及在纸上 记下密码。“保存用户名和密码”功能可以帮助用户避免这 种情况，因为它能安全地保存和管理多种凭证。用户只需要 进行一次登录 ，就是要到自己的计算机或域，由于用户不必 被强制记住密码，因此更有可能使用强壮的密码，从而能极 大提高整体安全性。 “保存用户名和密码”将凭证保存在用户配置中的安全 位置，其他用户无法访问。如果用户被设置为在企业中使用 单一的用户配置 (例如，漫游配置 )，用户无论在哪里登录 网络，都会取得保存的用户名和密码。这样就增强了这个功 能的实用性，并且能仍然保持一定程度的安全性。 如 当用户尝试访问使用默认凭证无法访问的网站或网络位 置时，会被提示输入用户名和密码。在输入这些信息后，选 择 “记住我的密码”勾选框，登录信息就会被保存在用户的 配置中，在下一次用户连接到这个资源时，就能使用被保存 的凭证自动进行认证。 每次用户点击 “记住我的密码”勾选框时，凭证会被按 照最常用的形式进行保存。例如，如果用户访问company． com域中的一台服务器时，选择 “记住我的密码”勾选框， 凭证可能就会被保存在 ．company．com下面。如果用户访问 同一个域中的不同服务器并再次选择 “记住我的密码”勾选 框时，Windows并不会覆盖之前保存的凭证 ，而是使用更加 具体的信息保存新的凭证，例如server1．company．com。因 此，对于指定的登录 ，只能保存唯一的用户名和密码，这也 是 “保存用户名和密码”功能的一个小限制。 当保存了多个凭证时，Windows会按照凭证信息的具 http：／／www．winitpro．com．cn i投稿：editor@winitpro．com．cn 系统与网络 系统与网络 图1：在 “保存用户名和密码”对话框中管理凭证 体程度进行排序，信息最具体的凭证会排在前面。当用户尝 试访问当前凭证不可用的资源时，认证程序会搜索 “保存用 户名和密码”的数据库，查找与资源相匹配的说明最具体的 凭证，如果找到，认证程序就不需要用户交互即可使用凭证， 如果没有找到，就会提示用户输入用户名和密码。 如何手工管理凭证 选择 “记住我的密码”勾选框时，除了自动创建和保存 凭证，还能为指定的资源手工创建凭证。Windows对于手工 创建的凭证与自动创建的凭证进行同样的处理。 Windows Vista、Windows XP、Windows Server 2008和 Windows Server 2003都提供了简单而直观的界面，用于手 工创建凭证，还可以查看、编辑和删除现有的凭证。此外， 在Windows Vista和Windows Server 2008中，还能备份和还 原保存的凭证，这一点非常有用。图1显示了Windows Vista 中 “保存用户名和密码”对话框的界面，我会介绍如何访问 并使用Windows XP和Windows Vista中的 “保存用户名和密 码”对话框，对于相应的Windows服务器操作系统版本，这 个过程类似。 访问 “保存用户名和密码”对话框。在Windows XP中， 根据计算机位于工作组或域，访问 “保存用户名和密码”对 话框的方式会有所不同。当计算机位于工作组时，在 “控制 面板” “用户账户”中，选择当前登录用户，在 “相关任 图2：手工添加凭证 务”面板点击 “管理我的网络密码”即可打开对话框，并且 只有当前登录用户的凭证可以进行管理。如果计算机属于 域，打开 “控制面板” “用户账户”，需要点击 “高级”标 签，然后点击 “管理密码”按钮打开对话框。 在Windows Vista，不管计算机位于工作组还是域，都 使用同样的方式访问对话框。打开 “控制面板” “用户账 户”，点击 “用户账户”，然后点击 “任务”区中的 “管理我 的网络密码”。 在Windows Vista或 Windows XP中直接访问 “用户账 户”的另一种方式是打开 “运行”窗口，运行以下命令 ： Control UserDasswOrds2 在打开的窗口中，点击 “高级”标签，然后点击 “管理 密码”按钮。如果要访问当前登录用户的凭证，则运行以下 命令： rundl132．exe keymgr．dll，KRShowKeyMgr 这个命令将直接打开 “保存用户名和密码”对话框，这 时就可以添加、编辑、删除、备份和还原凭证。 添加凭证。要为资源手工添加凭证，点击 “添加”打开 “保存凭证属性”对话框，如图2所示。 在 “登录”位置，输入资源名称，这里可以使用多种格 Windows IT Pro Magazjne国际中文版 1 2009年5月刊 系统与网络 图3：备份凭证 式，包括主机名称 (如serve r1)和全称域名 (如 se rve r1． domainX．corn)，甚至能使用通配符 (如 ．domainX．corn o不 过，需要记住的是，如果一个资源拥有多个凭证，“保存用 户名和密码”将总是使用说明信息最具体的资源名称。 在 “用户名”位置，可以按照以下格式输入用户名： · 域＼用户名 (如 DomainX~User1) · 机器名＼用户名 (如Computer1＼User1) · 用户名＼机器名 (如 User1＼C0mputer1) · 工作组＼用户名 (如 Sales＼User2) · 用户名＼工作组 (如 User2XSales) · 用户主体名称 (如User1@domainX．com) 在 “密码”区，输入密码。最后，需要指定凭证是用于 Windows登录认证还是用于网站或程序认证。 编辑凭证。如果要编辑现有的凭证，首先在 “保存用户 名和密码 ”对话框列 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 中选择资源 ，然后选择 “编辑” (Windows Vista)按钮或 “属性”(Windows XP)按钮，并 且只能编辑用户名和密码。 删除凭证。如果要删除现有的凭证，在 “保存用户名和 密码”对话框列表中选择资源，然后点击 “删除”即可。 备份和还原凭证 (Windows Vista和 Windows Server 2008适用 )o虽然自动保存凭证非常有用，但是如果丢失，也 会产生问题。Windows Vista和Windows Server 2008可以使 用 “备份和还原向导”进行备份和还原凭证。出于安全考虑， 备份和还原过程并不能自动完成，只能通过手工方式备份或 还原凭证。 在Windows Vista中执行备份 ，点击 “保存用户名和密 码”对话框中的 “备份”按钮，如图3所示，然后定位备份 文件的保存位置并输入备份文件名称。 所有的凭证都被保存在单一的．crd文件中，并通过 “高 级加密标准 (AES)”进行加密。在提供了文件位置和文件名 称之后，需要按下Ctrl+AIt+Del让Windows Vista能切换到安 全模式，接着，将出现提示 要求 对教师党员的评价套管和固井爆破片与爆破装置仓库管理基本要求三甲医院都需要复审吗 输入凭证保护的密码，这个 密码要求必须足够强壮 (例如包含大小写字母、数字和特殊 字符 )，在输入并验证密码之后，凭证将被保存到指定位置 的指定文件中。 如果需要还原之前备份的凭证，点击 “保存用户名和密 码”对话框中的 “还原”按钮，然后找到．crd文件的位置，并 输入保护密码。需要注意的是，从备份文件还原凭证将覆盖 计算机上保存的任何现有凭证。 保 在一个位置保存多个凭证非常方便，不过也很有风险。 虽然凭证是以加密格式保存在SAM和用户配置中，但是攻击 者如果能物理访问到这些用户配置文件，就可能破解这些密 码。 要想尽可能安全地保护凭证，重要的是要采取所有的安 全措施，这些安全措施包括 ： · 让用户保护好无人看管的计算机。例如，当用户长时 间离开计算机时，应该注销或锁定计算机。对于短期 离开的计算机 ，用户应该采用密码保护的屏幕保护 节电模式。 · 使用 BitLocker或类似的加密程序保护笔记本电脑。 也就是说，如果笔记本电脑丢失或失窃，数据也会受 到保护。 ·让用户在进行标准Windows登录时使用强壮的密码， 并定期修改密码。在域环境中，最好使用组策略强制 进行密码修改。 ·对于特别重要的资源，应该考虑禁用 “保存用户名和 密码”功能。 便利的工具 对于要使用多个凭证访问各种网络和Internet资源的用 户来说，“保存用户名和密码”功能是个便利的工具，可以 为他们带来单一登录的体验。虽然凭证是被加密保存的，但 是保护存储凭证的计算机的安全仍然是非常重要的。 http：／／www．winitpro．corn．cn【投稿：editor@winitpro．corn．cn 系统与网络