Recuperare le password di Windows in meno di cinque minuti

Esiste un modo per trovare le password di Windows in meno di cinque minuti?
Quando il sistema non fa parte di un dominio ma si tratta di una normale macchina “stand alone“, è molto semplice recuperare la password di Windows dimenticata, anche qualora non si riuscisse più ad accedere al sistema attraverso la schermata di login.

Per cambiare le password degli account utente Windows non avendo più accesso al sistema (password dimenticata), non è necessario alcun programma particolare: è sufficiente ricorrere al supporto d’installazione di Windows oppure al suo disco di ripristino.
Nei nostri articoli Password Windows 8.1 dimenticata, ecco come recuperarla; Windows: cambiare la password di qualunque account dalla schermata di login; Resettare o azzerare la password di Windows. Come cambiare la password di qualunque account utente (Video) abbiamo spiegato come cambiare la password di un account Windows locale (compresi quelli amministrativi) senza usare alcuno strumento software particolare all’infuori del DVD d’installazione di Windows o del disco di ripristino del sistema.

Il meccanismo, che sfrutta una lacuna del sistema operativo per consentire la modifica delle password degli account utente e permettere così di accedere nuovamente al sistema, non funziona con gli account Microsoft.
Se si utilizza, ad esempio in Windows 8.1, un account Microsoft per l’accesso al sistema (necessario per scaricare ed installare app dal Windows Store e per far leva sull’integrazione coi servizi cloud come OneDrive) la procedura illustrata negli articoli precedenti non funziona perché applicabile solamente sugli account locali.

Come recuperare tutte le password di Windows, comprese quelle degli account Microsoft

Abbiamo sempre ricordato come la scelta di password lunghe e complesse (contenenti lettere, numeri e, possibilmente, anche simboli) consenta di mettersi al riparo da gran parte degli attacchi. Password difficilmente “indovinabili”, infatti, permettono di proteggere in maniera più efficace un account utente seppure solo l’adozione dell’autenticazione a due fattori dia modo di compiere il salto di qualità (vedere nell’articolo Sicurezza account Google: come proteggersi dagli attacchi i consigli a valenza più generale).

Con il lancio di Windows 8, Microsoft ha voluto legare a doppio filo il sistema operativo con gli account utente utilizzabili per l’accesso ai servizi cloud dell’azienda (OneDrive, Outlook.com, Office Online,…). Ciò significa che per l’accesso al sistema operativo installato in locale, per impostazione predefinita, bisognerà indicare nome utente e password che si usano per l’accesso ai servizi cloud di Microsoft.
Per evitare di dover digitare ogni volta password lunghe e complesse, si possono usare modalità di autenticazione alternative (quali l’inserimento di un breve codice PIN o il login in forma grafica), illustrate nell’articolo Login di Windows 8.1: tutto quello che c’è da sapere sugli account utente.
Sebbene lo sconsigliamo, anche in forza di quanto andremo a spiegare nel seguito, c’è poi la possibilità di accedere a Windows 8.1 senza password (Accedere automaticamente a Windows 8.1).

Windows, infatti, anche nelle versioni più recenti (leggasi Windows 8.1), conserva le password degli account utente in forma cifrata. Il sottosistema Local Security Authority (LSA) provvede a gestire ogni aspetto legato all’autenticazione degli utenti in Windows.
Dopo l’avvenuto login, le credenziali dell’account utente vengono conservate nella memoria del sistema. Il ricercatore francese Benjamin Delpy, ha realizzato Mimikatz, un’applicazione in grado di elaborare i cosiddetti file dump che riflettono il contenuto della memoria ed estrarre tutte le password conservate.

Ecco quindi i passaggi da seguire per recuperare le password degli account Windows, compresi quelli remoti (Microsoft):

1) Cliccare con il tasto destro del mouse su questo file PowerShell e salvarlo sul sistema. Si tratta di un file che consente di generare un file dump con il contenuto della memoria.
Annotare il percorso completo in cui si è salvato il file Out-Minidump.ps1.

2) A questo punto si dovrà scaricare il tool Mimikatz facendo riferimento a questa pagina quindi cliccando sul link binaries.
Alla comparsa della finestra di Github, si potrà scaricare il file compresso mimikatz_trunk.zip.
Si tenga presente che il download di Mimikatz potrebbe far rizzare le antenne a molti software antivirus ed antimalware. Mimikatz non è assolutamente un software di per sé nocivo ma potrebbe essere utilizzato per rubare le password altrui. Per questo motivo diversi motori di ricerca lo indicano come potenzialmente pericoloso.
Come si può verificare dall’analisi su VirusTotal, Mimikatz viene considerato un “hack tool” di per sé comunque assolutamente benigno.

3) Aprendo il prompt dei comandi di Windows si dovrà digitare powershell e premere Invio.

4) Non appena comparirà il prompt di Powershell, bisognerà inserire, in sequenza, i seguenti comandi:

Set-ExecutionPolicy Unrestricted
. C:\CARTELLA_DOWNLOAD\Out-Minidump.ps1

Al posto di CARTELLA_DOWNLOAD bisognerà specificare il percorso completo in cui si è salvato il file Out-Minidump.ps1.

Alla comparsa dell’avvio di sicurezza bisognerà premere il tasto V (Esegui una volta) quindi Invio.

Digitando, infine, Get-Process lsass | Out-Minidump, lo script creerà un file dump con il contenuto del processo lsass, facente capo al sottosistema LSA.

L’ultimo comando (Copy-Item .\lsass_524.dmp C:\CARTELLA_DOWNLOAD\) consente di copiare il file dump (verificarne il nome corretto) nel percorso specificato.

5) Il passo seguente consiste nell’estrarre il contenuto dell’archivio compresso di Mimikatz su disco, ed accedere alle sottocartelle Win32 o x64 a seconda che si stia usando una versione a 32 o 64 bit di Windows.

6) Dopo aver eseguito il file mimikatz.exe apparirà una finestra simile a quella riprodotta in figura:

Digitando i due comandi che seguono, si caricherà dapprima il file dump generato in precedenza quindi si estrarranno le credenziali d’accesso usate dai vari account utente:

sekurlsa::minidump C:\CARTELLA_DOWNLOAD\lsass_524.dmp
sekurlsa::LogonPasswords full

Scorrendo il contenuto della finestra di Mimikatz si leggeranno immediatamente, in chiaro, tutte le password degli account utente, indipendentemente dalla loro complessità. Nel nostro caso abbiamo recuperato le password associate a tutti gli account Microsoft configurati sulla macchina.

Come difendersi

Per difendersi dall’utilizzo di strumenti come Mimikatz ed evitare che qualche utente che s’impossessi del computer possa risalire alle proprie password, è sufficiente ricordarsi di bloccare Windows quando ci si allontana dalla propria postazione. Come?
È sufficiente ricorrere alla combinazione di tasti Windows+L.

In alternativa, si può impostare un salvaschermo accertandosi di spuntare la casella Al ripristino, torna alla schermata di accesso.

Ancora, in alternativa, è possibile aprire l’Editor del registro di sistema di Windows, portarsi in corrispondenza della chiave HKLM\System\CurrentControlSet\Control\Lsa ed eliminare la riga wdigest in corrispondenza della stringa SecurityPackages.