Jsem uživatel Lastpass a mnohokrát jsem přemýšlel o přechodu na Správce pověření, pro automatickou synchronizaci a určitý komfort s prostředím Windows. Jediná věc že se bojím jeho bezpečnosti. Slyšel jsem, že pro někoho je docela snadné získat přístup k těmto pověřením, jakmile získá přístup k vašemu počítači, je to tak?
Mám se držet Lastpassu a možná v budoucnu zkontrolovat případná vylepšení?
Komentáře
- Mohu vám říci, že jakýkoli zvýšený proces může jednoduše načíst vaše přihlašovací údaje v obchodě a získat je zpět v prostém textu. To ' je vše, k čemu mohu s jistotou přispět.
- @TechnikEmpire wow well .. raději zůstaň daleko od toho potom
- . I přesto, že mají oficiální univerzální dokumentaci k systému Windows 10, propagují obchod jako bezpečné místo. Je ' pouze " zabezpečeno ", pokud důvěřujete počítači uživatelů a každému jednotlivému procesu který na tom někdy poběží. Ve skutečnosti ' existuje dokonce i knihovna C #, která vám umožní získat hodnoty prostého textu v 10 řádcích kódu nebo méně. Jediný způsob, jak to ' d použít, je ten, že jsem místo skutečného hesla uložil předem hašovanou verzi hesla a hash jsem potřeboval pouze lokálně ověřit.
- Vložil jsem to do odpovědi, protože to neudělal nikdo jiný. 🙂
Odpověď
Správce pověření Windows je něco jiného než zabezpečeného. Je „zabezpečený“ na úrovni uživatelského účtu, což znamená, že jakýkoli proces, který uživatel kdy spustí, a samotnému uživateli, musí být nutně důvěryhodný, aby bylo možné tento systém nazvat „zabezpečeným“ rovnou tváří.
Jediným částečně bezpečným způsobem, jak používat Správce pověření Windows, je ukládat hodnoty předem hašované a poté tyto hashe ověřovat. Jelikož však jakýkoli zvýšený proces, který uživatel spouští, má plnou kapacitu pro čtení a zápis v úložišti pověření daného uživatele, jednoduše nemůže být vůbec důvěryhodný.
Pojďme přemýšlet o „zabezpečeném“ ve smyslu lokálního uzamčení aplikace. Pojďme si vzít příklad filtru obsahu, který uzamkne stránku nastavení, aby zabránila dětem povolení obsahu pro dospělé pomocí Správce pověření k ukládání vlastních pověření. Stejný uživatel, který se to snaží obejít, to může udělat snadno. Uživatel může navštívit Správce pověření v Ovládacích panelech a přestože se hodnoty zobrazují v hvězdičkách, (*****), mohou jednoduše vymazat hodnotu a nahradit ji. Smažte svůj hash a vložte do něj vlastní.
Ještě hloupější je, že ovládací panel bude zobrazovat hvězdičky, ale pokud používáte kód pro přístup k příslušným API, můžete získat hodnoty v prostý text. Hesla tedy nejsou bezpečná, hodnoty hash a takové, které ověříte k uzamčení, nejsou bezpečné. Není to bezpečné, je to kus odpadu a já jsem se dlouho snažil pochopit jeho užitečnost, až na to, že Microsoft má zjevně prosté textové kopie všech vašich hesel, která mohou prodat NSA.
Poznámka
Uvědomuji si, že existují opatření, která můžete přijmout k zašifrování obsahu před jejich uložením, správným hašováním atd., ale moje kritika stále platí, protože provádění těchto dalších věcí vytváří bezpečnost, ne Windows Credential Manager. Můj problém s Windows Credential Manager je, že inzeruje, že jeho používání prostřednictvím poskytovaného GUI a nebo API je bezpečné.
Komentáře
- Při používání Správce pověření nemusíte ' používat vlastní ochranu. Aplikace by měly používat DPAPI ' s " další entropie " par ameter při ukládání zabezpečených dat, jako jsou hesla. Tato dodatečná entropie je v podstatě řetězec nebo hlavní heslo, které by nemělo být nikde uloženo. Uživatel musí toto heslo zadat do aplikace, aby aplikace mohla načíst dešifrovaná data. Taková data v Credential Manageru jsou zabezpečena před nepoctivými procesy, kromě klíčových loggerů nebo kompromisu na nízké úrovni. ' Je šokující, že Internet Explorer nepoužívá ' hlavní heslo / další entropii.
- Co ' ještě horší je, že Outlook stále používá Správce pověření v rámci Obecných pověření, pokud se uživatel rozhodne zapamatovat si své přihlašovací údaje.
- vaše odpověď není podložena fakty, je psáno subjektivně (rovnou tváří atd.). Uživatel A může přistupovat k pověření pro uživatele A, ale ne pro uživatele B. Obsah trezoru je šifrovaný, ale hlavní klíče lze údajně extrahovat při pohledu na lepší odpověď na podobnou otázku: security.stackexchange.com/a/177686
- en.wikipedia.org / wiki / Data_Protection_API Všechno je šifrováno. Zabezpečení je stejně dobré jako heslo k účtu.
- Souhlasím s Yepeekai. Pokud spouštíte aplikaci se zvýšenými oprávněními, může také nainstalovat záznamník klíčů, malware, vymazat celý počítač, zašifrovat data za účelem výkupného atd. Nespouštějte žádnou aplikaci, kterou ' t 100% důvěra jako správce. VŮBEC. Pokud potřebujete spouštět náhodné aplikace jako správce, proveďte to bezpečně uvnitř virtuálního počítače nebo kontejneru, kde by pak aplikace musela vyskočit z virtuálního počítače, aby vám ukradla hesla.
Odpověď
Slyšel jsem, že pro někoho je docela snadné získat přístup k těmto pověřením, jakmile získá přístup k vašim počítači, je to tak?
Není tomu tak.
Hesla uložená ve vašem trezoru pověření jsou (nakonec) zašifrována vaším heslem Windows. Aby mohli získat přístup k zašifrovaným přihlašovacím údajům, potřebují znát vaše heslo.
- Pokud někdo zná vaše heslo LastPass, může přístup k uloženým šifrovaným heslům
- pokud někdo zná vaše heslo pro Windows, může přístup k uloženým zašifrovaným heslům
Pokud však někdo získal přístup k vašemu počítači:
- tak nemůže přistupovat k vašim heslům LastPass (protože jsou „znovu šifrována)
- nemohou přístup k heslům Vaultu (protože jsou „znovu šifrována)