août 19, 2020
Articles
Aucun commentaire

Quelle est la sécurité du gestionnaire dinformations didentification Windows?

Je « suis un utilisateur de Lastpass et jai souvent pensé à passer au Credential Manager, pour une synchronisation automatique et un certain confort avec lenvironnement Windows. La seule chose ce qui me préoccupe, cest sa sécurité. Jai entendu dire quil est assez facile pour quelquun daccéder à ces informations didentification une fois quils ont eu accès à votre ordinateur, nest-ce pas?

Dois-je men tenir à Lastpass et peut-être vérifier ultérieurement déventuelles améliorations?

Commentaires

  • Je peux vous dire que tout Le processus élevé peut simplement récupérer vos informations didentification dans le magasin et les récupérer en texte brut. Voilà ' tout ce que je peux apporter en toute confiance.
  • @TechnikEmpire wow bien … mieux vaut rester loin de là alors
  • En effet . Même avec la documentation officielle de lapplication universelle Windows 10, ils font la promotion du magasin comme un lieu sécurisé. Il ' nest " sécurisé " que si vous faites confiance à la machine des utilisateurs et à chaque processus qui fonctionnera jamais dessus. En fait, il existe ' même une bibliothèque C # qui vous permet dobtenir les valeurs de texte brut en 10 lignes de code ou moins. La seule façon dont jutilise ' cest si jai stocké une version pré-hachée du mot de passe au lieu du mot de passe réel et que je navais besoin que de vérifier le hachage localement.
  • Je lai mis dans une réponse, car personne dautre ne la fait. 🙂

Réponse

Le gestionnaire dinformations didentification Windows est tout sauf sécurisé. Il « est » sécurisé « au niveau du compte utilisateur, ce qui signifie que tout processus que lutilisateur exécute et lutilisateur lui-même doivent nécessairement faire confiance pour appeler ce système » sécurisé « avec un visage impassible.

Le seul moyen semi-sécurisé dutiliser le Gestionnaire dinformations didentification Windows consiste à stocker les valeurs pré-hachées, puis à vérifier ces hachages. Cependant, comme tout processus élevé exécuté par lutilisateur a une capacité de lecture / écriture complète sur le magasin dinformations didentification de cet utilisateur, il on ne peut pas du tout faire confiance.

Pensons à «sécurisé» dans le sens de verrouiller une application localement. Prenons lexemple dun filtre de contenu qui verrouille la page des paramètres pour empêcher les enfants de activer le contenu réservé aux adultes, à laide de Credential Manager pour stocker les informations didentification personnalisées. Le même utilisateur, essayant de contourner cela, peut le faire facilement. Un utilisateur peut visiter Credential Manager dans le panneau de configuration et, bien que les valeurs apparaissent entre astérisques, (*****), ils peuvent simplement effacer la valeur et la remplacer. Supprimez votre hachage, insérez le leur.

Ce qui est encore plus stupide, cest que le panneau de configuration affichera des astérisques, mais si vous utilisez du code pour accéder aux API applicables, vous pouvez obtenir les valeurs dans texte brut. Les mots de passe ne sont donc pas sûrs, les hachages et autres que vous vérifiez pour verrouiller quelque chose ne sont pas sûrs. Ce nest pas sûr, cest une poubelle et jai eu du mal pendant longtemps à comprendre son utilité, sauf pour que Microsoft ait apparemment des copies en texte brut de tous vos mots de passe quils peuvent vendre à la NSA.

Remarque
Je me rends compte que vous pouvez prendre des mesures pour crypter le contenu avant de les stocker, de les hacher correctement, etc., mais ma critique sapplique toujours car ces choses supplémentaires créent de la sécurité, pas Windows Credential Manager. Mon problème avec Windows Credential Manager est quil annonce que son utilisation via linterface graphique et / ou lAPI fournie est sécurisée.

Commentaires

  • Vous navez ' pas besoin de mettre en place votre propre protection lorsque vous utilisez Credential Manager. Les applications doivent utiliser DPAPI ' s " entropie supplémentaire " par ampèremètre lors du stockage de données sécurisées telles que des mots de passe. Cette entropie supplémentaire est essentiellement une chaîne ou un mot de passe principal qui ne doit être stocké nulle part. Lutilisateur doit saisir ce mot de passe dans lapplication afin que lapplication puisse récupérer les données décryptées. Ces données dans Credential Manager sont protégées des processus non fiables, à lexception des enregistreurs de frappe ou des compromis de bas niveau. Il est ' choquant quInternet Explorer nutilise ' un mot de passe principal / une entropie supplémentaire.
  • Quoi ' s encore pire est quOutlook utilise toujours Credential Manager sous Generic Credentials si lutilisateur choisit de se souvenir de sa connexion.
  • votre réponse nest pas étayée par des faits, cest écrit subjectivement (avec un visage impassible, etc.). L’utilisateur A peut accéder aux informations d’identification de l’utilisateur A mais pas de l’utilisateur B. Le contenu du coffre-fort est chiffré mais les clés principales sont censées être extraites en recherchant une meilleure réponse à une question similaire: security.stackexchange.com/a/177686
  • en.wikipedia.org / wiki / Data_Protection_API Tout est crypté. La sécurité est aussi bonne que le mot de passe de votre compte.
  • Je suis daccord avec Yepeekai. Si vous exécutez une application avec des privilèges élevés, elle peut également installer un enregistreur de frappe, des logiciels malveillants, effacer lintégralité de votre PC, crypter vos données pour obtenir une rançon, etc. Nexécutez aucune application de votre choix ' t 100% confiance en tant quadministrateur. DÉJÀ. Si vous avez besoin dexécuter des applications aléatoires en tant quadministrateur, faites-le en toute sécurité dans une VM ou un conteneur où lapplication devrait alors sauter hors de la VM pour voler vos mots de passe.

Réponse

Jai entendu dire quil « est assez facile pour quelquun daccéder à ces identifiants une fois quil » a accédé à votre ordinateur, nest-ce pas?

Ce nest pas le cas.

Les mots de passe stockés dans votre coffre-fort dinformations didentification sont (finalement) cryptés avec votre mot de passe Windows. Pour accéder aux identifiants chiffrés, ils doivent connaître votre mot de passe.

  • si quelquun connaît votre mot de passe LastPass, il peut accéder à vos mots de passe chiffrés stockés
  • si quelquun connaît votre mot de passe Windows, il peut accéder à vos mots de passe chiffrés stockés

Mais si quelquun a accédé à votre ordinateur:

  • il ne peut accéder à vos mots de passe LastPass (car ils sont « rechiffrés)
  • ils ne peuvent pas accéder à vos mots de passe Vault (car ils sont « rechiffrés)

Lecture bonus

Détails techniques dans lAPI de protection des données 🕗

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *