I ”ma Lastpass -käyttäjä ja ajattelin monta kertaa vaihtaa Credential Manageriin automaattisen synkronoinnin ja tietyn mukavuuden saavuttamiseksi Windows-ympäristön kanssa. Ainoa asia olen huolissani sen turvallisuudesta. Kuulin, että jonkun on melko helppo käyttää näitä tunnistetietoja, kun he ovat päässeet tietokoneeseesi, eikö niin?
Pitäisikö minun pysyä Lastpassissa ja ehkä tarkistaa tulevaisuudessa mahdolliset parannukset?
Kommentit
- Voin kertoa sinulle, että kaikki kohonnut prosessi voi yksinkertaisesti noutaa tunnistetiedot kaupasta ja saada ne takaisin pelkkänä tekstinä. Se ' s kaikesta, johon voin luottavaisin mielin osallistua.
- @TechnikEmpire wow well .. parempi pysyä kaukana siitä sitten
- todellakin . Jopa Windows 10: n virallisella yleissovelluksen dokumentaatiolla he mainostavat kauppaa turvallisena paikkana. Se ' on vain " suojattu ", jos luotat käyttäjän koneeseen ja kaikkiin yksittäisiin prosesseihin joka koskaan ajaa sitä. Itse asiassa ' on jopa C # -kirjasto, jonka avulla pystyt saamaan pelkkän tekstin arvot enintään 10 rivillä koodia. Ainoa tapa, jolla ' käytän tätä, on, jos tallensin salasanan ennalta hajautetun version varsinaisen salasanan sijasta ja tarvitsin vain vahvistaa hajautuspaikan paikallisesti.
- Esitin sen vastaukseen, koska kukaan muu ei tehnyt. 🙂
Vastaa
Windows Credential Manager on kaikkea muuta kuin turvallinen. Se on ”turvallinen” käyttäjätilitasolla, mikä tarkoittaa, että kaikkiin käyttäjän koskaan suorittamiin prosesseihin ja itse käyttäjään on välttämättä luotettava, jotta tätä järjestelmää voidaan kutsua ”suojatuksi” suorilla kasvoilla.
Ainoa puoliturvallinen tapa käyttää Windows Credential Manager -ohjelmaa on tallentaa ennalta hajautetut arvot ja sitten tarkistaa nämä tiivistelmät. Koska kaikilla käyttäjän suorittamilla korotetuilla prosesseilla on kuitenkin täysi luku- ja kirjoitusominaisuus kyseisen käyttäjän tunnistetallennustilassa, se yksinkertaisesti ei voida luottaa lainkaan.
Ajattele ”turvallista” sovelluksen lukitsemisen paikallisesti. Otetaan esimerkki sisältösuodattimesta, joka lukitsee asetussivun pitämään lapset poissa aikuisille tarkoitetun sisällön ottaminen käyttöön, Credential Manager -sovelluksen avulla mukautettujen tunnistetietojen tallentamiseen. Sama käyttäjä, joka yrittää ohittaa tämän, voi tehdä niin helposti. Käyttäjä voi vierailla Credential Manager -sovelluksessa ohjauspaneelissa, ja vaikka arvot näkyvät tähdinä (*****), he voivat yksinkertaisesti poistaa arvon ja korvata sen. Poista hash, laita omat, joihin ne tulevat.
Mikä on vieläkin typerämpää, että ohjauspaneeli näyttää tähtiä, mutta jos käytät koodia sovellettaville sovellusliittymille, voit saada arvot pelkkää tekstiä. Joten salasanat eivät ole turvallisia, hashit ja sellaiset, jotka varmistat lukitsevasi jotain, eivät ole turvallisia. Se ei ole turvallista, se on roskaa, ja olen taistellut pitkään ymmärtääksesi sen hyödyllisyyden, paitsi että Microsoftilla on ilmeisesti selkeät tekstikopiot kaikista salasanoistasi, joita he voivat myydä NSA: lle.
Huomaa
Ymmärrän, että sisällön salaamiseksi on olemassa toimenpiteitä ennen niiden tallentamista, hajauttaminen oikein jne., mutta kritiikkini on edelleen voimassa, koska näiden muiden asioiden tekeminen luo turvallisuutta, ei Windows Credential Manager: Minun ongelmani Windows Credential Managerissa on, että se mainitsee, että sen käyttö sen käyttöliittymän ja käyttöliittymän kautta on turvallista.
Kommentit
- Sinun ' ei tarvitse luoda omaa suojausta käyttäessäsi Credential Manager -ohjelmaa. Sovellusten tulisi käyttää DPAPI ' s " ylimääräinen entropia " par ampeeria tallennettaessa suojattuja tietoja, kuten salasanoja. Tämä ylimääräinen entropia on pohjimmiltaan merkkijono tai pääsalasana, jota ei pitäisi tallentaa mihinkään. Käyttäjän on annettava tämä salasana sovelluksessa, jotta sovellus voi hakea salauksen puretut tiedot. Tällaiset Credential Manager -sovelluksen tiedot on suojattu väärinkäyttäjiltä, lukuun ottamatta avainkirjaajia tai matalan tason kompromisseja. ' järkyttävää, että Internet Explorer ei käytä ' ei käytä pääsalasanaa / muuta entropiaa.
- mitä ' s vielä pahempaa on, että Outlook käyttää edelleen Credential Manageria yleisten tunnistetietojen alla, jos käyttäjä haluaa muistaa kirjautumistunnuksensa.
- vastaustasi ei tueta tosiseikoilla, se on kirjoitettu subjektiivisesti (suorilla kasvoilla jne.). Käyttäjä A voi käyttää käyttäjän A, mutta ei käyttäjän B. tunnistetietoja. Holvin sisältö on salattu, mutta pääavaimet on oletettavasti mahdollista purkaa tarkasteltaessa parempaa vastausta vastaavaan kysymykseen: security.stackexchange.com/a/177686
- fi.wikipedia.org / wiki / Data_Protection_API Kaikki on salattu. Suojaus on yhtä hyvä kuin tilisi salasana.
- Olen samaa mieltä Yepeekain kanssa. Jos käytät sovellusta, jolla on korkeat oikeudet, se voi myös asentaa avainkirjaajan, haittaohjelman, poistaa koko tietokoneesi, salata tietosi lunnaita varten jne. Älä suorita mitään sovellusta, jota et halua ' t 100% luottamus järjestelmänvalvojana. KOSKAAN. Jos sinun on suoritettava satunnaisia sovelluksia järjestelmänvalvojana, tee se turvallisesti virtuaalikoneessa tai säilössä, jossa sovelluksen on sitten hypättävä ulos virtuaalikoneesta varastamaan salasanasi.
Vastaus
Olen kuullut, että jonkun on melko helppo käyttää näitä tunnistetietoja, kun he ovat päässeet tietokone, onko niin?
Ei ole niin.
Tunnistetietovarastoon tallennetut salasanat salataan (viime kädessä) Windows-salasanallasi. Salattujen tunnistetietojen saamiseksi heidän on tiedettävä salasanasi.
- jos joku tietää LastPass-salasanasi, hän voi käyttää tallennettuja salattuja salasanojasi
- jos joku tietää Windows-salasanasi, hän voi käyttää tallennettuja salattuja salasanojasi
Mutta jos joku on päässyt tietokoneellesi:
- hän ei voi käyttää LastPass-salasanojasi (koska ne ”salataan uudelleen”)
- he eivät voi käytä Holvin salasanojasi (koska ne salataan uudelleen)