I “ma Lastpassユーザーであり、自動同期とWindows環境の快適さのために、資格情報マネージャーに切り替えることを何度も考えました。唯一のことは私が心配しているのはそのセキュリティです。コンピュータにアクセスできるようになると、誰かがこれらの資格情報にアクセスするのは非常に簡単だと聞きましたが、そうですか?
Lastpassを使い続けて、将来的に改善が見られるかどうかを確認する必要がありますか?
コメント
- 昇格したプロセスでは、ストアで資格情報を取得して、プレーンテキストで戻すことができます。それは'私が自信を持って貢献できるすべてのことです。
- @TechnikEmpireすごい..それから遠く離れた方がいいです
- 確かに。 Windows 10の公式ユニバーサルアプリドキュメントがあっても、安全な場所としてストアを宣伝しています。 'ユーザーのマシンとすべてのプロセスを信頼する場合にのみ"安全"それはその上で実行されます。実際、'には、10行以下のコードでプレーンテキストの値を取得できるC#ライブラリもあります。 'これを使用する唯一の方法は、実際のパスワードではなく、ハッシュ済みのバージョンのパスワードを保存し、ハッシュをローカルで確認するだけでよい場合です。
- 他に誰もしなかったので、私はそれを答えに入れました。 🙂
回答
Windows資格情報マネージャーは安全ではありません。これは、ユーザーアカウントレベルで「安全」です。つまり、このシステムを真っ直ぐに「安全」と呼ぶには、ユーザーが実行するプロセスとユーザー自身が必ず信頼されている必要があります。
Windows Credential Managerを使用する唯一の半安全な方法は、事前にハッシュされた値を保存し、それらのハッシュを確認することです。ただし、ユーザーが実行する昇格されたプロセスは、そのユーザーの資格情報ストアで完全な読み取り/書き込み機能を備えているため、単純に「まったく信頼できない。
アプリケーションをローカルでロックするという意味で「安全」について考えてみましょう。設定ページをロックして子供を保護するコンテンツフィルタの例を見てみましょう。資格情報マネージャーを使用してカスタム資格情報を保存し、アダルトコンテンツを有効にします。同じユーザーがこれを回避しようとすると、簡単に回避できます。ユーザーは、コントロールパネルの資格情報マネージャーにアクセスできます。値はアスタリスク(*****)で表示されますが、値を消去して置き換えることができます。ハッシュを削除し、独自に配置します。
さらに愚かなのは、コントロールパネルにアスタリスクが表示されることですが、該当するAPIにアクセスするコードを使用すると、次の値を取得できます。プレーンテキスト。したがって、パスワードは安全ではなく、ハッシュなど、何かをロックすることを確認することは安全ではありません。それは「安全ではなく、ごみの一部であり、私は」その有用性を理解するのに長い間苦労してきました。ただし、MicrosoftがNSAに販売できるすべてのパスワードのプレーンテキストコピーを持っているようです。
注
コンテンツを暗号化するための対策があることを認識しています保存する前に、正しくハッシュするなどですが、これらの追加のを実行すると、Windowsではなくセキュリティが作成されるため、私の批判は依然として当てはまります。資格情報マネージャー。Windows資格情報マネージャーに関する私の問題は、提供されたGUIまたはAPIを介してそれを使用することが安全であることをアドバタイズすることです。
コメント
- 資格情報マネージャーを使用する場合、'独自の保護をロールする必要はありません。アプリケーションはDPAPI 'を使用する必要があります"追加のエントロピー"パーパスワードなどの安全なデータを保存するときの電流計。この追加のエントロピーは基本的に文字列またはマスターパスワードであり、どこにも保存しないでください。アプリケーションが復号化されたデータを取得できるように、ユーザーはアプリケーション内でこのパスワードを入力する必要があります。 Credential Managerのこのようなデータは、キーロガーや低レベルの侵害を除いて、不正なプロセスから保護されています。 'インターネットエクスプローラーがマスターパスワード/追加のエントロピーを使用しないことは衝撃的です'。
- 何'さらに悪いことに、ユーザーがログインを記憶することを選択した場合、Outlookは引き続き一般的な資格情報の下で資格情報マネージャーを使用します。
- あなたの答えは事実に裏付けられていません。主観的に書かれている(まっすぐな顔など)。ユーザーAはユーザーAの資格情報にアクセスできますが、ユーザーBの資格情報にはアクセスできません。ボールトのコンテンツは暗号化されていますが、同様の質問に対するより適切な回答を探すと、マスターキーを抽出できると思われます:security.stackexchange.com/a/177686
- en.wikipedia。org / wiki / Data_Protection_API すべてが暗号化されています。セキュリティはアカウントのパスワードと同じくらい良好です。
- Yepeekaiに同意します。昇格された権限でアプリを実行すると、キーロガー、マルウェアのインストール、PC全体の消去、身代金目的のデータの暗号化なども可能になります。使用しないアプリは実行しないでください' t管理者として100%信頼。これまで。管理者としてランダムなアプリを実行する必要がある場合は、VMまたはコンテナ内で安全に実行し、アプリがVMからジャンプしてパスワードを盗む必要があります。
回答
誰かがあなたにアクセスできるようになると、これらの資格情報にアクセスするのは非常に簡単だと聞きましたコンピューター、そうですか?
そうではありません。
資格情報ボールトに保存されているパスワードは、(最終的には)Windowsパスワードで暗号化されます。暗号化された資格情報にアクセスするには、パスワードを知っている必要があります。
- LastPassのパスワードを知っている人は、できます保存されている暗号化されたパスワードにアクセスします
- 誰かがあなたのWindowsパスワードを知っている場合、できます保存されている暗号化されたパスワードにアクセスします
ただし、誰かがあなたのコンピューターにアクセスした場合:
- cannot LastPassパスワードにアクセスできません(暗号化されているため)
- できません Vaultのパスワードにアクセスします(暗号化されているため)