저는 Lastpass 사용자이며, 자동 동기화 및 Windows 환경의 편안함을 위해 Credential Manager로 전환하는 것에 대해 여러 번 생각했습니다. 제가 걱정하는 것은 보안입니다. 누군가가 사용자의 컴퓨터에 액세스하면 이러한 자격 증명에 액세스하는 것이 매우 쉽다고 들었습니다. 그렇습니까?
Lastpass를 고수하고 향후 개선 사항을 확인해야합니까?
댓글
- 상승 된 프로세스는 저장소에서 자격 증명을 가져와 일반 텍스트로 되돌릴 수 있습니다. 그것이 ' 제가 자신있게 기여할 수있는 모든 것에 대한 것입니다.
- @TechnikEmpire 와우 잘 .. 그런 다음 멀리 떨어져있는 것이 좋습니다
- 참 . 여전히 Windows 10 공식 범용 앱 설명서를 사용하더라도 스토어를 안전한 장소로 홍보합니다. 사용자 컴퓨터와 모든 단일 프로세스를 신뢰하는 경우 ' 유일하게 " 안전한 "입니다. 그것은 그것에 실행될 것입니다. 실제로 ' 코드 10 줄 이하로 일반 텍스트 값을 가져올 수있는 C # 라이브러리도 있습니다. ' 이것을 사용하는 유일한 방법은 실제 비밀번호 대신 사전 해시 된 버전의 비밀번호를 저장하고 로컬에서 해시를 확인하기 만하면되는 경우입니다.
- 다른 사람이 해주지 않았기 때문에 답변에 넣었습니다. 🙂
답변
Windows Credential Manager는 안전하지 않습니다. 이는 사용자 계정 수준에서 “안전”합니다. 즉, 사용자가 실행 한 모든 프로세스와 사용자 자신이이 시스템을 똑바로 “안전”하다고 부르기 위해서는 반드시 신뢰할 수 있어야합니다.
Windows Credential Manager를 사용하는 유일한 반 보안 방법은 미리 해시 된 값을 저장 한 다음 해당 해시를 확인하는 것입니다. 그러나 사용자가 실행하는 상승 된 프로세스는 해당 사용자의 자격 증명 저장소에 대한 전체 읽기 / 쓰기 기능을 갖기 때문에 간단합니다. “전혀 신뢰할 수 없습니다.
응용 프로그램을 로컬로 잠그는 의미에서”보안 “에 대해 생각해 보겠습니다. 설정 페이지를 잠그는 콘텐츠 필터의 예를 들어 보겠습니다. 사용자 지정 자격 증명을 저장하기 위해 Credential Manager를 사용하여 성인용 콘텐츠를 활성화합니다. 이를 우회하려는 동일한 사용자가 쉽게 할 수 있습니다. 사용자는 제어판에서 자격 증명 관리자를 방문 할 수 있으며 값이 별표 (*****)로 표시되지만 값을 지우고 바꿀 수 있습니다. 해시를 삭제하고 “있는 그대로”넣으십시오.
더 어리석은 점은 제어판에 별표가 표시된다는 것입니다.하지만 해당 API에 액세스하는 코드를 사용하면 다음에서 값을 얻을 수 있습니다. 일반 텍스트. 따라서 암호는 안전하지 않으며 해시와 같은 것을 잠그기 위해 확인하는 것은 안전하지 않습니다. 그것은 안전하지 않습니다. 그것은 “쓰레기의 조각입니다. 그리고 저는 그 유용성을 이해하기 위해 오랫동안 고심했습니다. 마이크로 소프트가 NSA에 판매 할 수있는 모든 암호의 일반 텍스트 복사본을 가지고있는 것”을 제외하고는 말입니다.
참고
콘텐츠를 암호화하기 위해 취할 수있는 조치가 있음을 알고 있습니다. 저장하기 전에 올바르게 해싱하는 등의 작업을 수행하지만 이러한 추가 작업을 수행하면 Windows가 아닌 보안이 생성되기 때문에 제 비판은 여전히 적용됩니다. Credential Manager. Windows Credential Manager의 문제점은 제공된 GUI 및 / 또는 API를 통해 사용하는 것이 안전하다고 광고한다는 것입니다.
댓글
- Credential Manager를 사용할 때 ' 자체 보호를 적용 할 필요가 없습니다. 애플리케이션은 DPAPI '의 추가 엔트로피 " par 암호와 같은 보안 데이터를 저장할 때 ameter. 이 추가 엔트로피는 기본적으로 어디에도 저장되어서는 안되는 문자열 또는 마스터 암호입니다. 사용자는 응용 프로그램이 해독 된 데이터를 검색 할 수 있도록 응용 프로그램 내에이 암호를 입력해야합니다. Credential Manager의 이러한 데이터는 키 로거 또는 낮은 수준의 손상을 제외한 불량 프로세스로부터 안전합니다. Internet Explorer가 마스터 비밀번호 / 추가 엔트로피를 사용하지 않는다는 것이 ' 충격입니다. '
- 무엇 ' 더 나쁜 것은 사용자가 로그인을 기억하도록 선택한 경우 Outlook이 여전히 일반 자격 증명에서 Credential Manager를 사용하고 있다는 것입니다.
- 당신의 대답은 사실로 뒷받침되지 않습니다. 주관적으로 작성합니다 (똑바로 얼굴 등). 사용자 A는 사용자 A의 자격 증명에 액세스 할 수 있지만 사용자 B의 자격 증명에는 액세스 할 수 없습니다. 저장소의 내용은 암호화되지만 유사한 질문에 대한 더 나은 대답을 볼 때 마스터 키를 추출 할 수 있습니다. security.stackexchange.com/a/177686
- en.wikipedia.org / wiki / Data_Protection_API 모든 것이 암호화됩니다. 보안은 계정 비밀번호만큼이나 우수합니다.
- Yepeekai에 동의합니다. 상승 된 권한으로 앱을 실행하는 경우 키 로거, 멀웨어를 설치하고 전체 PC를 삭제하고 몸값을 위해 데이터를 암호화하는 등의 작업을 수행 할 수 있습니다. 사용하는 앱은 실행하지 마십시오. ' t 관리자로서 100 % 신뢰. 이제까지. 임의의 앱을 관리자로 실행해야하는 경우 VM 또는 컨테이너 내에서 안전하게 실행 한 다음 앱이 비밀번호를 도용하기 위해 VM에서 빠져 나와야합니다.
답변
누군가가 귀하의 계정에 대한 액세스 권한을 얻은 후에는 이러한 자격 증명에 액세스하는 것이 매우 쉽다고 들었습니다. 컴퓨터가 그렇습니까?
그렇지 않습니다.
자격 증명 저장소에 저장된 암호는 (최종적으로) Windows 암호로 암호화됩니다. 암호화 된 자격 증명에 액세스하려면 귀하의 비밀번호를 알아야합니다.
- 누군가 귀하의 LastPass 비밀번호를 아는 경우 할 수 있습니다 저장된 암호화 된 비밀번호에 액세스
- 누군가가 Windows 비밀번호를 아는 경우 할 수 있습니다 저장된 암호화 된 비밀번호에 액세스
하지만 누군가가 귀하의 컴퓨터에 액세스 한 경우 :
- (암호화 되었기 때문에)
- 그들은 할 수 없습니다 Vault 비밀번호에 액세스 (암호화 되었기 때문)