I “ma Lastpass felhasználó, és sokszor gondoltam arra, hogy váltsak a Credential Manager-re, az automatikus szinkronizálás és bizonyos kényelem érdekében a Windows környezettel. hogy aggódom a biztonsága miatt. Úgy hallottam, hogy valakinek nagyon könnyű hozzáférnie ezekhez a hitelesítő adatokhoz, ha hozzáférnek a számítógépéhez.
Maradjak a Lastpassnál, és esetleg a jövőben ellenőrizzem az esetleges fejlesztéseket?
Megjegyzések
- Mondhatom, hogy bármelyik az emelt folyamat egyszerűen be tudja szerezni a hitelesítő adatokat a boltban, és egyszerű szövegben visszakaphatja azokat. Ez ' az, amihez magabiztosan hozzájárulhatok.
- @TechnikEmpire wow well .. jobb, ha akkor messze maradsz tőle.
- Valóban . Még a Windows 10 hivatalos univerzális alkalmazásdokumentációja mellett is biztonságos helyként népszerűsítik az üzletet. Csak ' csak " biztonságos ", ha megbízik a felhasználói gépben és minden egyes folyamatban hogy valaha is futni fog rajta. Valójában ' még egy C # könyvtár is található benne, amely lehetővé teszi az egyszerű szöveges értékek megszerzését 10 vagy kevesebb kódsorban. ' Csak akkor használhatom ezt, ha a tényleges jelszó helyett a jelszó előre kivonatolt verzióját tároltam, és csak a kivonatolást kellett helyileg ellenőriznem.
- Válaszba helyeztem, mert senki más nem. 🙂
Válasz
A Windows Credential Manager nem csak biztonságos. “Biztonságos” a felhasználói fiók szintjén, ami azt jelenti, hogy minden olyan folyamatot, amelyet a felhasználó valaha is futtat, és magukat a felhasználókat is szükségszerűen megbízni kell annak érdekében, hogy ezt a rendszert egyenes arccal “biztonságosnak” lehessen nevezni.
A Windows Credential Manager használatának egyetlen félbiztonságos módja az előre kivonatolt értékek tárolása, majd ezek kivonatainak ellenőrzése. Mivel azonban a felhasználó által futtatott bármely emelt szintű folyamat teljes olvasási / írási képességgel rendelkezik a felhasználó hitelesítő adattárolójában, egyszerűen egyáltalán nem lehet megbízható.
Gondoljunk a “biztonságos” -ra egy alkalmazás helyi lezárása szempontjából. Vegyünk példát egy tartalomszűrőre, amely bezárja a beállítási oldalt, hogy a gyerekek ne felnőtteknek szóló tartalom engedélyezése, az egyedi hitelesítő adatok tárolásához a Credential Manager segítségével. Ugyanaz a felhasználó, ezt megpróbálva megkerülni, könnyen megteheti. A felhasználó meglátogathatja a Vezérlőpult Credential Manager-jét, és bár az értékek csillagokban jelennek meg, (*****), egyszerűen törölheti és kicserélheti az értéket. Törölje a hash-t, tegye be a sajátját, ahová bejutnak.
Ami még silányabb, hogy a Vezérlőpult csillagokat jelenít meg, de ha kódot használ az alkalmazandó API-khoz, akkor az értékeket a egyszerű szöveg. Tehát a jelszavak nem biztonságosak, a hashok és az ilyenek, amelyeket ellenőriz, hogy lezárnak valamit, nem biztonságosak. Ez nem biztonságos, szemétdarab, és sokáig küzdöttem, hogy megértsem annak hasznosságát, kivéve, hogy a Microsoft nyilvánvalóan sima szöveges másolatokat készít az összes jelszaváról, amelyeket el tudnak adni az NSA-nak.
Megjegyzés
Tudomásul veszem, hogy a tartalom titkosításához vannak intézkedések tárolásuk előtt, helyes kivonatolás stb., de a kritikám továbbra is érvényes, mert ezek a további dolgok a biztonságot jelentik, nem pedig a Windows Hitelesítőadat-kezelő. A problémám a Windows Hitelesítő-kezelővel az, hogy azt hirdeti, hogy a megadott GUI-n és / vagy API-n keresztül biztonságos a használata.
Megjegyzések
- A Credential Manager használatakor nem kell saját védelmet létrehoznia. Az alkalmazásoknak használnia kell a DPAPI ' s " további entrópia " par améter biztonságos adatok, például jelszavak tárolásakor. Ez a további entrópia alapvetően egy string vagy master jelszó, amelyet nem szabad bárhol tárolni. A felhasználónak meg kell adnia ezt a jelszót az alkalmazásban, hogy az alkalmazás visszakaphassa a visszafejtett adatokat. A Credential Manager ilyen adatai biztonságosak a szélhámos folyamatoktól, kivéve a kulcsnaplózókat vagy az alacsony szintű kompromisszumokat. ' megdöbbentő, hogy az Internet Explorer nem használ ' fő jelszót / további entrópiát.
- Mi ' még ennél is rosszabb, hogy az Outlook továbbra is a Credential Manager alkalmazást használja az Általános hitelesítő adatok alatt, ha a felhasználó úgy dönt, hogy emlékezzen a bejelentkezésükre.
- a válaszát nem támasztják alá tényekkel, hanem szubjektíven írva (egyenes arccal stb.). Az A felhasználó hozzáférhet az A felhasználó hitelesítő adataihoz, a B felhasználóhoz azonban nem. A tároló tartalma titkosítva van, de állítólag a fő kulcsok kinyerhetők, ha hasonló kérdésre jobb választ keresünk: security.stackexchange.com/a/177686
- hu.wikipedia.org / wiki / Data_Protection_API Minden titkosítva van. A biztonság ugyanolyan jó, mint a fiókja jelszava.
- Egyetértek Yepeekai-val. Ha emelt szintű jogosultságokkal rendelkező alkalmazást futtat, telepíthet kulcsfontosságú naplózót, rosszindulatú programokat, törölheti az egész számítógépet, titkosíthatja adatait váltságdíj ellenében stb. Ne futtasson olyan alkalmazásokat, amelyeket nem használ t 100% -ban megbízik rendszergazdaként. VALAHA. Ha véletlenszerű alkalmazásokat kell rendszergazdaként futtatnia, akkor azt biztonságosan végezze el egy virtuális gépen vagy tárolón belül, ahol az alkalmazásnak ki kell ugrania a virtuális gépből a jelszavak ellopásához.
Válasz
Úgy hallottam, hogy valaki nagyon könnyen hozzáférhet ezekhez a hitelesítő adatokhoz, miután hozzáférést kapott az Önhöz számítógép, igaz?
Nem így van.
A hitelesítő adattárban tárolt jelszavakat (végső soron) a Windows jelszavával titkosítják. A titkosított hitelesítő adatokhoz való hozzáféréshez ismernie kell a jelszavát.
- ha valaki ismeri a LastPass jelszavát, hozzáférhet a tárolt titkosított jelszavakhoz
- ha valaki ismeri a Windows jelszavát, hozzáférés a tárolt titkosított jelszavakhoz
De ha valaki hozzáférést kapott a számítógépéhez:
- ő nem nem férhet hozzá a LastPass jelszavaihoz (mert „újból titkosítva vannak”)
- nem nem tudnak hozzáférés a Vault jelszavaihoz (mert titkosítva vannak)