Jeg er Lastpass-bruker og mange ganger tenkte jeg å bytte til Credential Manager for automatisk synkronisering og en viss komfort med Windows-miljøet. Det eneste som jeg er bekymret for er sikkerheten. Jeg hørte at det er ganske enkelt for noen å få tilgang til disse legitimasjonene når de har fått tilgang til datamaskinen din, er det slik?
Skal jeg holde fast ved Lastpass og kanskje sjekke fremover for eventuelle forbedringer?
Kommentarer
- Jeg kan fortelle deg at noen forhøyet prosess kan ganske enkelt hente legitimasjonen din i butikken og få dem tilbake i ren tekst. At ' handler om alt jeg trygt kan bidra med.
- @TechnikEmpire wow well .. holde deg langt langt borte fra det da
- Faktisk . Selv med offisiell Windows 10-appdokumentasjon fremmer de butikken som et sikkert sted. Det ' er bare " sikkert " hvis du stoler på brukerens maskin og hver eneste prosess som noen gang vil kjøre på den. Faktisk er det ' til og med et C # -bibliotek som gjør at du kan få verdiene for ren tekst i 10 kodelinjer eller mindre. Den eneste måten jeg ' bruker dette på er hvis jeg lagret en forhåndshashet versjon av passordet i stedet for det faktiske passordet, og jeg bare trengte å verifisere hasjen lokalt.
- Jeg la det inn i et svar, fordi ingen andre gjorde det. 🙂
Svar
Windows Credential Manager er alt annet enn sikkert. Det er «sikkert» på brukerkontonivå, noe som betyr at enhver prosess som brukeren noen gang kjører, og brukeren selv, nødvendigvis må stole på for å kalle dette systemet «sikkert» med rett ansikt.
Den eneste halvsikre måten å bruke Windows Credential Manager er å lagre verdier som er forhåndshashet, og deretter verifisere disse hasjene. Siden enhver forhøyet prosess brukeren kjører, har den full lese / skrivemuligheter i brukerens legitimasjonslager, kan ikke stole på i det hele tatt.
La oss tenke på «sikker» i betydningen å låse et program lokalt. La oss ta eksemplet med et innholdsfilter som låser innstillingssiden for å holde barna fra aktivere vokseninnhold ved å bruke Credential Manager til å lagre egendefinerte legitimasjonsbeskrivelser. Den samme brukeren, som prøver å omgå dette, kan gjøre det enkelt. En bruker kan besøke legitimasjonsbehandling i kontrollpanelet, og selv om verdiene vises i stjerner, (*****), kan de ganske enkelt slette verdien og erstatte den. Slett hashen din, legg inn sine egne de «kommer inn.
Det som er enda kjedeligere er at kontrollpanelet viser stjerner, men hvis du bruker kode for å få tilgang til de aktuelle API-ene, kan du få verdiene i ren tekst. Så passord er ikke trygge, hashes og slikt du bekrefter for å låse noe er ikke trygt. Det er ikke trygt, det er et søppel, og jeg har kjempet lenge for å forstå nytten, bortsett fra at Microsoft tilsynelatende har kopier i ren tekst av alle passordene dine de kan selge til NSA.
Merknad
Jeg skjønner at det er tiltak du kan ta for å kryptere innhold før du lagrer dem, hasher dem riktig osv., men min kritikk gjelder fortsatt fordi å gjøre disse ekstra ting skaper sikkerhet, ikke Windows Credential Manager. Problemet mitt med Windows Credential Manager er at det annonserer at det er sikkert å bruke det gjennom det medfølgende GUI og / API.
Kommentarer
- Du trenger ikke ' å rulle din egen beskyttelse når du bruker Credential Manager. Applikasjoner bør bruke DPAPI ' s " tilleggs entropi " par ameter når du lagrer sikre data som passord. Denne ekstra entropien er i utgangspunktet et streng- eller hovedpassord som ikke skal lagres hvor som helst. Brukeren må oppgi dette passordet i applikasjonen, slik at applikasjonen kan hente de dekrypterte dataene. Slike data i Credential Manager er sikre mot useriøse prosesser unntatt nøkkelloggere eller kompromisser på lavt nivå. Det ' er sjokkerende at Internet Explorer ikke ' t bruker et hovedpassord / ekstra entropi.
- Hva ' s enda verre er at Outlook fortsatt bruker Credential Manager under Generic Credentials hvis brukeren velger å huske påloggingen.
- svaret ditt er ikke støttet med fakta, det er skrevet subjektivt (med rett ansikt osv.). Bruker A har tilgang til legitimasjon for bruker A, men ikke for bruker B. Innholdet i hvelvet er kryptert, men hovednøklene er visstnok mulig å hente ut når man ser på et bedre svar på et lignende spørsmål: sikkerhet.stackexchange.com/a/177686
- no.wikipedia.org / wiki / Data_Protection_API Alt er kryptert. Sikkerheten er like god som kontopassordet ditt.
- Jeg er enig med Yepeekai. Hvis du kjører en app med forhøyede privilegier, kan den også installere en nøkkellogger, skadelig programvare, slette hele PC-en, kryptere dataene dine for løsepenger, etc. Ikke kjør noen app du ikke ' t 100% tillit som administrator. NOEN GANG. Hvis du trenger å kjøre tilfeldige apper som administrator, gjør du det sikkert i en VM eller container der appen da må hoppe ut av VM for å stjele passordene dine.
Svar
Jeg hørte at det er ganske enkelt for noen å få tilgang til disse legitimasjonene når de har fått tilgang til din datamaskin, er det slik?
Det er ikke slik.
Passord som er lagret i legitimasjonshvelvet ditt, blir (til slutt) kryptert med Windows-passordet ditt. For å få tilgang til de krypterte legitimasjonene, må de vite passordet ditt.
- Hvis noen kjenner til LastPass-passordet ditt, kan de få tilgang til de lagrede krypterte passordene dine
- hvis noen vet Windows-passordet ditt, kan de få tilgang til lagrede krypterte passord
Men hvis noen har fått tilgang til datamaskinen din:
- de kan ikke få tilgang til LastPass-passordene dine (fordi de «er kryptert)
- de kan ikke få tilgang til Arkiv-passordene dine (fordi de er «kryptert)