Używam schowka Windows jako metody wprowadzania haseł z Lastpass do aplikacji komputerowych.
Zastanawiałem się dokładnie, jak bezpieczne to jest? Czy żaden program nie może uzyskać dostępu do schowka w dowolnym momencie?
Używam schowka Windows jako metody wprowadzania haseł z Lastpass do aplikacji komputerowych.
Zastanawiałem się dokładnie, jak bezpieczne to jest? Czy żaden program nie może uzyskać dostępu do schowka w dowolnym momencie?
Odpowiedzi:
To nie jest bezpieczne.
Zobacz to pytanie i odpowiedź na Security.stackechange.com , cytowane poniżej:
Schowek systemu Windows nie jest bezpieczny.
To cytat z artykułu MSDN .
Schowka można używać do przechowywania danych, takich jak tekst i obrazy. Ponieważ Schowek jest wspólny dla wszystkich aktywnych procesów, można go używać do przesyłania danych między nimi.
Powinno to prawdopodobnie dotyczyć również komputerów z systemem Linux.
Czy to niepokoi? Nie. Aby ktoś mógł to wykorzystać, musiałby mieć na twoim komputerze złośliwe oprogramowanie zdolne do odczytu danych ze schowka. Jeśli ma on możliwość rozprzestrzeniania złośliwego oprogramowania na twoim komputerze, masz o wiele większe rzeczy do zmartwienia, ponieważ jest wiele innych rzeczy, które może zrobić, w tym keyloggery i tym podobne.
Pamiętaj, że nie tylko aplikacje mogą mieć dostęp do schowka, ale nie tylko złośliwe oprogramowanie może chcieć je uzyskać.
Są również użytkownicy, którzy mogą przypadkowo lub celowo ujawnić zawartość schowka po uzyskaniu fizycznego dostępu do komputera. Oczywiście i tak mogą wyrządzić wiele szkód, ale uzyskanie rzeczywistego hasła (a nie tylko dostępu do stron internetowych / programów) jest trudne (chyba że masz je w schowku ...)
Więc albo upewnij się, że schowek jest wyczyszczony (i to nie jest w 100% niezawodne, ponieważ niektóre aplikacje ponownie pozwalają odzyskać stare wartości ze schowka) lub użyj pewnego rodzaju szyfrowania (nie jest to trywialne, ale nawet łatwe chroni przed przypadkowym wyciekiem hasła)
Jak wszyscy się zgadzają, schowek jest ogólnie niepewny. Tak więc kolejne pytanie jest oczywiste: jak uzyskać złożone hasła / hasła od menedżera haseł tam, gdzie są potrzebne, bez ujawniania ich po drodze.
Poszukaj menedżera haseł, który ma opcję „wpisz hasło w następnym oknie, które klikniesz” lub podobny. Nie znam żadnych przykładów, ponieważ nie jestem aż tak szalony w kwestii większości haseł. (I faktycznie zapamiętywam bardzo mało haseł o wysokim poziomie bezpieczeństwa, których używam, takich jak mój prywatny klucz GPG).
Wiki społeczności: edytuj w nazwach programów, które mają tę funkcję:
Moja wersja KeepassX, 0.4.3, oferuje czyszczenie schowka po X sekundach (domyślnie 20, ale 8 jest w porządku)