Sono “un utente Lastpass e molte volte ho pensato di passare a Credential Manager, per la sincronizzazione automatica e un certo comfort con lambiente Windows. Lunica cosa quello che mi preoccupa è la sua sicurezza. Ho sentito che è abbastanza facile per qualcuno accedere a queste credenziali una volta ottenuto laccesso al tuo computer, è così?
Dovrei restare con Lastpass e magari controllare in futuro eventuali miglioramenti?
Commenti
- Posso dirti che qualsiasi un processo elevato può semplicemente recuperare le tue credenziali nel negozio e recuperarle in testo normale. Questo ' è più o meno tutto quello a cui posso contribuire con sicurezza.
- @TechnikEmpire wow beh .. meglio che te ne stia lontano
- . Anche con la documentazione ufficiale dellapp universale di Windows 10, promuovono lo store come luogo sicuro. È ' solo " secure " se ti fidi della macchina dellutente e di ogni singolo processo che funzionerà mai su di esso. In effetti, ' è persino una libreria C # che ti consente di ottenere i valori di testo normale in 10 righe di codice o meno. Lunico modo in cui ' lo uso è se ho memorizzato una versione pre-hash della password invece della password effettiva e ho solo bisogno di verificare lhash localmente.
- Lho messo in una risposta, perché nessun altro lha fatto. 🙂
Risposta
Windows Credential Manager è tuttaltro che sicuro. È “sicuro” a livello di account utente, il che significa che qualsiasi processo eseguito dallutente e lutente stesso deve necessariamente essere considerato attendibile per poter chiamare questo sistema “sicuro” con una faccia seria.
Lunico modo semi sicuro di utilizzare Gestione credenziali di Windows è memorizzare i valori pre-hash, quindi verificare gli hash. Tuttavia, poiché qualsiasi processo elevato eseguito dallutente ha una capacità di lettura / scrittura completa sullarchivio delle credenziali di quellutente, semplicemente non ci si può fidare affatto.
Pensiamo a “sicuro” nel senso di bloccare unapplicazione a livello locale. Prendiamo lesempio di un filtro dei contenuti che blocca la pagina delle impostazioni per impedire ai bambini abilitare i contenuti per adulti, utilizzando Credential Manager per memorizzare le credenziali personalizzate. Lo stesso utente, cercando di aggirare questo, può farlo facilmente. Un utente può visitare Credential Manager nel Pannello di controllo e, sebbene i valori vengano visualizzati tra asterischi (*****), può semplicemente cancellare il valore e sostituirlo. Elimina il tuo hash, inseriscilo nel loro.
La cosa ancora più sciocca è che il pannello di controllo mostrerà degli asterischi, ma se utilizzi il codice per accedere alle API applicabili, puoi ottenere i valori in testo normale. Quindi le password non sono sicure, gli hash e simili che verifichi per bloccare qualcosa non sono sicuri. Non è sicuro, è un pezzo di spazzatura e ho lottato a lungo per capirne lutilità, tranne per il fatto che Microsoft ha apparentemente copie in testo normale di tutte le tue password che possono vendere alla NSA.
Nota
Mi rendo conto che ci sono misure che puoi adottare per crittografare i contenuti prima di archiviarli, eseguirne correttamente lhashing, ecc., ma la mia critica è ancora valida perché fare queste ulteriori cose crea sicurezza, non Windows Credential Manager. Il mio problema con Windows Credential Manager è che pubblicizza che utilizzarlo tramite la GUI e / o lAPI fornite è sicuro.
Commenti
- Non è necessario ' implementare la propria protezione quando si utilizza Credential Manager. Le applicazioni devono utilizzare DPAPI ' s " entropia aggiuntiva " par ameter quando si memorizzano dati protetti come le password. Questa entropia aggiuntiva è fondamentalmente una stringa o una password principale che non dovrebbe essere memorizzata da nessuna parte. Lutente deve inserire questa password allinterno dellapplicazione in modo che lapplicazione possa recuperare i dati decrittografati. Tali dati in Credential Manager sono protetti da processi non autorizzati ad eccezione di key logger o compromissione di basso livello. ' è scioccante che Internet Explorer non ' t utilizzi una password principale / entropia aggiuntiva.
- Cosa ' è ancora peggio che Outlook sta ancora utilizzando Credential Manager in Credenziali generiche se lutente sceglie di ricordare il proprio accesso.
- la tua risposta non è supportata da fatti, è scritto soggettivamente (con una faccia seria, ecc.). Lutente A può accedere alle credenziali per lutente A ma non per lutente B. Il contenuto del vault è crittografato ma si suppone che le chiavi principali possano essere estratte quando si cerca una risposta migliore per una domanda simile: security.stackexchange.com/a/177686
- en.wikipedia.org / wiki / Data_Protection_API Tutto è crittografato. La sicurezza è pari alla password del tuo account.
- Sono daccordo con Yepeekai. Se esegui unapp con privilegi elevati, puoi anche installare un key logger, malware, cancellare lintero PC, crittografare i tuoi dati per il riscatto e così via. Non eseguire alcuna app che don ' t 100% affidabile come amministratore. MAI. Se devi eseguire app casuali come amministratore, fallo in modo sicuro allinterno di una VM o di un contenitore in cui lapp dovrebbe quindi saltare fuori dalla VM per rubare le tue password.
Rispondi
Ho sentito che è abbastanza facile per qualcuno accedere a queste credenziali una volta ottenuto laccesso al tuo computer, è così?
Non è così.
Le password archiviate nel deposito delle credenziali vengono (in definitiva) crittografate con la password di Windows. Per accedere alle credenziali crittografate, devono conoscere la tua password.
- Se qualcuno conosce la tua password LastPass, può accedere alle password crittografate archiviate
- se qualcuno conosce la tua password di Windows, può accede alle tue password crittografate archiviate
Ma se qualcuno ha avuto accesso al tuo computer:
- loro non può accedere alle tue password LastPass (perché “sono crittografate)
- loro non possono accedere alle password di Vault (perché “vengono crittografate)
Lettura bonus
Dettagli tecnici allinterno dellAPI per la protezione dei dati 🕗