Jak bezpieczny jest schowek Windows?


49

Używam schowka Windows jako metody wprowadzania haseł z Lastpass do aplikacji komputerowych.

Zastanawiałem się dokładnie, jak bezpieczne to jest? Czy żaden program nie może uzyskać dostępu do schowka w dowolnym momencie?


1
Pamiętam, że dostęp do schowka był domyślnie włączony w niektórych (starych) wersjach IE (prawdopodobnie IE6). Znalazłem ten link, w którym stwardnienie rozsiane umieszcza okno ostrzegawcze za każdym razem, gdy strona próbuje uzyskać dostęp do twojego schowka, ale wygląda na to, że nie było go wcześniej. Więc jeśli użyjesz IE <= 6 (nie masz racji?), Możesz być narażony na dodatkowe ryzyko.
Carlos Campderrós,

3
Uruchamianie schowka na starym współdzielonym VMWare Player w ustawieniach biurowych ujawnia wiele interesujących rzeczy na temat twoich współpracowników. Zawsze musiałem być ostrożny, odpowiadając na ludzi z mojej starej pracy, ponieważ istniała spora szansa, jeśli wytnę i wkleję to, co skończy się w schowku szefa.
Peter Turner,

1
@ CarlosCampderrós Myślę, że flash pozwala na to.
CodesInChaos

2
KeePass ma opcję w ustawieniach „Pamięć”: „Zachowanie schowka: Ulepszone: pozwala wkleić raz i chronić przed szpiegami ze schowka”
DBedrenko

Odpowiedzi:


59

To nie jest bezpieczne.

Zobacz to pytanie i odpowiedź na Security.stackechange.com , cytowane poniżej:

Schowek systemu Windows nie jest bezpieczny.

To cytat z artykułu MSDN .

Schowka można używać do przechowywania danych, takich jak tekst i obrazy. Ponieważ Schowek jest wspólny dla wszystkich aktywnych procesów, można go używać do przesyłania danych między nimi.

Powinno to prawdopodobnie dotyczyć również komputerów z systemem Linux.

Czy to niepokoi? Nie. Aby ktoś mógł to wykorzystać, musiałby mieć na twoim komputerze złośliwe oprogramowanie zdolne do odczytu danych ze schowka. Jeśli ma on możliwość rozprzestrzeniania złośliwego oprogramowania na twoim komputerze, masz o wiele większe rzeczy do zmartwienia, ponieważ jest wiele innych rzeczy, które może zrobić, w tym keyloggery i tym podobne.


4
Chociaż czytanie danych w schowku jest trywialne, jak wyjaśnia Keltari, fakt, że czytasz w schowku przede wszystkim złośliwe oprogramowanie, jest dla ciebie największym problemem. Jest to powód, dla którego kopiowanie i wklejanie hasła do pola hasła nie ma wpływu na bezpieczeństwo hasła, możliwość zrobienia tego jest przekonująca. Nie wpisując bezpiecznego losowego hasła o długości 20-30 znaków.
Ramhound,

2
Oczywiście próg jest znacznie niższy w przypadku złośliwego oprogramowania, które odczytuje ze schowka (zrobi to całkowicie „legalny” fragment javascript osadzony na stronie internetowej) w porównaniu do złośliwego oprogramowania, które wykorzystuje proces przeglądarki lub odczytuje pamięć innego procesu lub instaluje hak do przechwytywania naciśnięcia klawiszy itp.
Damon

24
@Damon Z tego, co rozumiem, JS nie ma losowego dostępu do schowka z tego właśnie powodu.
Pułkownik Trzydzieści Dwa

3
@Damon Według MDN aplikacja musi mieć uprawnienia do korzystania z polecenia wklej, aby losowe strony nie mogły wąchać tego schowka.
Pułkownik Trzydzieści Dwa

2
@zzzzBov - A co powstrzymałoby kogoś od dodania przycisku JavaScript zatytułowanego „Darmowe pieniądze - kliknij tutaj!”, ale przycisk faktycznie kopiuje schowek zamiast dawać pieniądze za darmo?
Yay295,

6

Pamiętaj, że nie tylko aplikacje mogą mieć dostęp do schowka, ale nie tylko złośliwe oprogramowanie może chcieć je uzyskać.

Są również użytkownicy, którzy mogą przypadkowo lub celowo ujawnić zawartość schowka po uzyskaniu fizycznego dostępu do komputera. Oczywiście i tak mogą wyrządzić wiele szkód, ale uzyskanie rzeczywistego hasła (a nie tylko dostępu do stron internetowych / programów) jest trudne (chyba że masz je w schowku ...)

Więc albo upewnij się, że schowek jest wyczyszczony (i to nie jest w 100% niezawodne, ponieważ niektóre aplikacje ponownie pozwalają odzyskać stare wartości ze schowka) lub użyj pewnego rodzaju szyfrowania (nie jest to trywialne, ale nawet łatwe chroni przed przypadkowym wyciekiem hasła)


1
Szyfrowanie nie pomoże w tym. Atak nie dotyczy pamięci, w której jest przechowywany schowek (lub historia schowka). Atak polega na pobieraniu zawartości schowka za pomocą standardowego interfejsu API schowka (albo działającego programu, który go czyta, albo innego użytkownika uzyskującego tymczasowy dostęp i inicjującego wklejanie) .
Peter Cordes,

1
Nie do końca Peter, nie znamy architektury oryginalnego rozwiązania, ale jeśli twoja aplikacja najpierw umieści zawartość w schowku, a następnie ją odzyska, może zmodyfikować dane w sposób, który jest zrozumiały tylko dla siebie. Więc kiedy ktoś, a nawet ty z osobą wyglądającą przypadkowo, ujawni treść, nie jest jeszcze jasne, co było w środku i jak z niej korzystać. Jakikolwiek sposób ujawnienia hasła w postaci zwykłego tekstu jest moim zdaniem najwyższym możliwym naruszeniem bezpieczeństwa. Szczerze mówiąc, nigdy nie rozważałbym kopiowania go do schowka lub pliku tekstowego, etx. Są lepsze sposoby komunikacji między aplikacjami :)
mikus

3
@mikus, chociaż prawda, zwykle nie jest to sposób działania schowka. Schowek jest naprawdę użyteczny tylko do udostępniania treści z jednej aplikacji do drugiej. Pojedyncza aplikacja może równie dobrze przechowywać zaszyfrowaną zawartość w pamięci w celu późniejszego pobrania i całkowicie unikać schowka.
trlkly

Rzeczywiście, nigdy nie powiedziałem inaczej, ale dopóki nie sądzę, że jakakolwiek komercyjna aplikacja, taka jak LastPass, pozostawia coś w schowku, chyba autor ma kontrolę nad obiema aplikacjami. Następnie może wybrać dowolne kodowanie lub szyfrowanie, jakie chce, prawda? oraz inne metody komunikacji :) Jeśli jego ostatni zapis zapisuje hasła w postaci zwykłego tekstu w schowku, to po prostu nie jest odpowiednia aplikacja do korzystania z IMO.
mikus

2

Jak wszyscy się zgadzają, schowek jest ogólnie niepewny. Tak więc kolejne pytanie jest oczywiste: jak uzyskać złożone hasła / hasła od menedżera haseł tam, gdzie są potrzebne, bez ujawniania ich po drodze.

Poszukaj menedżera haseł, który ma opcję „wpisz hasło w następnym oknie, które klikniesz” lub podobny. Nie znam żadnych przykładów, ponieważ nie jestem aż tak szalony w kwestii większości haseł. (I faktycznie zapamiętywam bardzo mało haseł o wysokim poziomie bezpieczeństwa, których używam, takich jak mój prywatny klucz GPG).

Wiki społeczności: edytuj w nazwach programów, które mają tę funkcję:

  • KeePassX

Moja wersja KeepassX, 0.4.3, oferuje czyszczenie schowka po X sekundach (domyślnie 20, ale 8 jest w porządku)

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.