Jeg er Lastpass-bruger, og mange gange tænkte jeg på at skifte til Credential Manager til automatisk synkronisering og en vis komfort med Windows-miljøet. Det eneste som jeg er bekymret for er dens sikkerhed. Jeg hørte, at det er ret nemt for nogen at få adgang til disse legitimationsoplysninger, når de først har fået adgang til din computer, er det så?
Skal jeg holde fast ved Lastpass og måske tjekke i fremtiden for eventuelle forbedringer?
Kommentarer
- Jeg kan fortælle dig, at enhver forhøjet proces kan simpelthen hente dine legitimationsoplysninger i butikken og få dem tilbage i almindelig tekst. At ' handler om alt, hvad jeg med sikkerhed kan bidrage med.
- @TechnikEmpire wow well .. hellere være langt langt væk fra det
- Faktisk . Selv med Windows 10 officiel universel app-dokumentation promoverer de butikken som et sikkert sted. Det ' er kun " sikkert " hvis du stoler på brugerens maskine og hver eneste proces der nogensinde vil køre på det. Faktisk er der ' endda et C # -bibliotek, der gør dig i stand til at få værdierne i almindelig tekst i 10 kodelinjer eller mindre. Den eneste måde, jeg ' bruger dette på, er, hvis jeg gemte en forud hash-version af adgangskoden i stedet for den aktuelle adgangskode, og jeg kun havde brug for at bekræfte hashen lokalt.
- Jeg satte det i et svar, fordi ingen andre gjorde det. 🙂
Svar
Windows Credential Manager er alt andet end sikkert. Det er “sikkert” på brugerkontoniveau, hvilket betyder, at enhver proces, som brugeren nogensinde kører, og brugeren selv nødvendigvis skal have tillid til for at kalde dette system “sikkert” med et lige ansigt.
Den eneste semi-sikre måde at bruge Windows Credential Manager på er at gemme præ-hashede værdier og derefter kontrollere disse hashes. Da enhver forhøjet proces, som brugeren kører, har fuld læse / skrive-kapacitet på brugerens legitimationslager, er det simpelthen kan slet ikke stole på.
Lad os tænke på “sikker” i betydningen at låse et program lokalt. Lad os tage eksemplet med et indholdsfilter, der låser indstillingssiden for at holde børnene fra aktivering af voksenindhold ved hjælp af Credential Manager til at gemme brugerdefinerede legitimationsoplysninger. Den samme bruger, der prøver at omgå dette, kan gøre det let. En bruger kan besøge legitimationsadministratoren i kontrolpanelet, og selvom værdierne vises i stjerner, (*****), kan de simpelthen slette værdien og erstatte den. Slet din hash, sæt deres egne ind, de er igen.
Hvad der er endnu mere kedeligt er, at kontrolpanelet viser stjerner, men hvis du bruger kode, der får adgang til de relevante APIer, kan du få værdierne i simpel tekst. Så adgangskoder er ikke sikre, hashes og sådan, du bekræfter for at låse noget, er ikke sikre. Det er ikke sikkert, det er et stykke affald, og jeg har længe kæmpet for at forstå dets anvendelighed, bortset fra at Microsoft tilsyneladende har kopier i almindelig tekst af alle dine adgangskoder, de kan sælge til NSA.
Note
Jeg er klar over, at der er foranstaltninger, du kan tage for at kryptere indhold inden du gemmer dem, hashing dem korrekt osv., men min kritik gælder stadig, fordi det at gøre disse yderligere ting skaber sikkerhed, ikke Windows Credential Manager. Mit problem med Windows Credential Manager er, at det annoncerer, at det er sikkert at bruge det gennem dets leverede GUI og eller API.
Kommentarer
- Du behøver ikke ' at rulle din egen beskyttelse, når du bruger Credential Manager. Applikationer skal bruge DPAPI ' s " yderligere entropi " par ameter ved lagring af sikre data, såsom adgangskoder. Denne ekstra entropi er dybest set en streng eller hovedadgangskode, som ikke skal opbevares nogen steder. Brugeren skal indtaste denne adgangskode i applikationen, så applikationen kan hente de dekrypterede data. Sådanne data i Credential Manager er sikre mod uhyggelige processer undtagen nøgleloggere eller kompromiser på lavt niveau. Det ' er chokerende, at Internet Explorer ikke ' ikke bruger en hovedadgangskode / yderligere entropi.
- Hvad ' s endnu værre er, at Outlook stadig bruger Credential Manager under Generic Credentials, hvis brugeren vælger at huske deres login.
- dit svar er ikke bakket op med fakta, det er skrevet subjektivt (med et lige ansigt osv.). Bruger A kan få adgang til legitimationsoplysninger for bruger A, men ikke for bruger B. Indholdet af hvælvingen er krypteret, men masternøglerne er angiveligt mulige at udtrække, når man ser på et bedre svar til et lignende spørgsmål: sikkerhed.stackexchange.com/a/177686
- da.wikipedia.org / wiki / Data_Protection_API Alt er krypteret. Sikkerheden er lige så god som adgangskoden til din konto.
- Jeg er enig med Yepeekai. Hvis du kører en app med forhøjede privilegier, kan den også installere en nøglelogger, malware, slette hele din pc, kryptere dine data til løsesum osv. Kør ikke nogen app, du ikke ' t 100% tillid som administrator. NOGENSINDE. Hvis du har brug for at køre tilfældige apps som administrator, skal du gøre det sikkert inde i en VM eller container, hvor appen derefter bliver nødt til at springe ud af den virtuelle computer for at stjæle dine adgangskoder.
Svar
Jeg hørte, at det er ret nemt for nogen at få adgang til disse legitimationsoplysninger, når de først har fået adgang til din computer, er det så?
Det er det ikke.
Adgangskoder, der er gemt i din legitimationshvelv, krypteres (i sidste ende) med din Windows-adgangskode. For at få adgang til de krypterede legitimationsoplysninger skal de kende din adgangskode.
- hvis nogen kender din LastPass-adgangskode, kan de få adgang til dine gemte krypterede adgangskoder
- hvis nogen kender din Windows-adgangskode, kan de få adgang til dine gemte krypterede adgangskoder
Men hvis nogen har fået adgang til din computer:
- de kan ikke få adgang til dine LastPass-adgangskoder (fordi de “er krypteret)
- de kan ikke få adgang til dine Vault-adgangskoder (fordi de “er krypteret)