Hoe veilig is Windows Credential Manager?

Ik “ben een Lastpass-gebruiker en ik heb er vaak aan gedacht om over te schakelen naar de Credential Manager, voor automatische synchronisatie en een zeker comfort met de Windows-omgeving. Het enige ding waar ik me zorgen over maak, is de veiligheid. Ik heb gehoord dat het voor iemand vrij gemakkelijk is om toegang te krijgen tot deze inloggegevens als ze eenmaal toegang hebben gekregen tot uw computer, toch?

Moet ik bij Lastpass blijven en misschien in de toekomst kijken naar eventuele verbeteringen?

Opmerkingen

  • Ik kan je vertellen dat elke verhoogde proces kan eenvoudig uw inloggegevens in de winkel ophalen en ze in platte tekst terughalen. Dat ' is ongeveer alles wat ik zelfverzekerd kan bijdragen.
  • @TechnikEmpire wauw goed .. blijf er dan maar ver vandaan
  • Inderdaad . Zelfs met de officiële universele app-documentatie van Windows 10, promoten ze de winkel als een veilige plek. Het ' is alleen " veilig " als je de gebruikerscomputer en elk afzonderlijk proces vertrouwt dat zal er ooit op draaien. In feite is er ' zelfs een C # -bibliotheek die je in staat stelt om de waarden in platte tekst op te halen in 10 regels code of minder. De enige manier waarop ik dit ' d gebruik, is als ik een vooraf gehashte versie van het wachtwoord opsloeg in plaats van het eigenlijke wachtwoord en ik de hash alleen lokaal hoefde te verifiëren.
  • Ik heb het in een antwoord gestopt, omdat niemand anders het deed. 🙂

Answer

De Windows Credential Manager is allesbehalve veilig. Het is “veilig” op gebruikersaccountniveau, wat betekent dat elk proces dat de gebruiker ooit uitvoert en de gebruiker zelf noodzakelijkerwijs moet worden vertrouwd om dit systeem met een duidelijk gezicht “veilig” te noemen.

De enige semi-veilige manier om de Windows Credential Manager te gebruiken, is om waarden vooraf gehasht op te slaan en vervolgens die hashes te verifiëren. Aangezien elk verhoogd proces dat de gebruiker uitvoert echter volledige lees- / schrijfmogelijkheden heeft in het inloggegevensarchief van die gebruiker, kan helemaal niet worden vertrouwd.

Laten we eens denken aan veilig in de zin van een applicatie lokaal vergrendelen. Laten we het voorbeeld nemen van een inhoudsfilter dat de instellingenpagina vergrendelt om de kinderen ervan te weerhouden inhoud voor volwassenen inschakelen, met behulp van de Credential Manager om aangepaste inloggegevens op te slaan. Dezelfde gebruiker, die dit probeert te omzeilen, kan dit gemakkelijk doen. Een gebruiker kan de Credential Manager in het Configuratiescherm bezoeken en, hoewel de waarden worden weergegeven in sterretjes (*****), kunnen ze de waarde eenvoudig wissen en vervangen. Verwijder je hash, plaats hun eigen hash.

Wat nog gekker is, is dat het configuratiescherm sterretjes laat zien, maar als je code gebruikt om toegang te krijgen tot de toepasselijke APIs, kun je de waarden ophalen in platte tekst. Dus wachtwoorden zijn niet veilig, hashes en dergelijke die u verifieert om iets te vergrendelen, zijn niet veilig. Het is niet veilig, het is een stuk vuilnis en ik heb lang geworsteld om het nut ervan te begrijpen, behalve dat Microsoft blijkbaar kopieën in platte tekst heeft van al je wachtwoorden die ze aan de NSA kunnen verkopen.

Opmerking
Ik realiseer me dat er maatregelen zijn die u kunt nemen om inhoud te versleutelen voordat ik ze opslaat, ze correct hashing, enz., maar mijn kritiek is nog steeds van toepassing omdat het maken van deze aanvullende dingen beveiliging creëert, niet de Windows Credential Manager. Mijn probleem met de Windows Credential Manager is dat het adverteert dat het gebruik ervan via de meegeleverde GUI en / of API veilig is.

Opmerkingen

  • U hoeft ' uw eigen bescherming niet te gebruiken wanneer u de Credential Manager gebruikt. Toepassingen moeten DPAPI gebruiken ' s " aanvullende entropie " par ameter bij het opslaan van beveiligde gegevens zoals wachtwoorden. Deze extra entropie is in feite een string of hoofdwachtwoord dat nergens mag worden opgeslagen. De gebruiker moet dit wachtwoord binnen de applicatie invoeren, zodat de applicatie de ontsleutelde gegevens kan ophalen. Dergelijke gegevens in de Credential Manager zijn beveiligd tegen malafide processen, met uitzondering van keyloggers of compromissen op laag niveau. Het ' is schokkend dat Internet Explorer geen ' een hoofdwachtwoord / aanvullende entropie gebruikt.
  • Wat ' s nog erger is dat Outlook nog steeds Credential Manager gebruikt onder Generic Credentials als de gebruiker ervoor kiest zijn login te onthouden.
  • je antwoord wordt niet ondersteund met feiten, het is subjectief geschreven (met een strak gezicht, enz.). Gebruiker A heeft toegang tot de inloggegevens voor gebruiker A, maar niet voor gebruiker B. De inhoud van de kluis is versleuteld, maar de hoofdsleutels kunnen naar verluidt worden geëxtraheerd bij het bekijken van een beter antwoord op een vergelijkbare vraag: security.stackexchange.com/a/177686
  • en.wikipedia.org / wiki / Data_Protection_API Alles is versleuteld. De beveiliging is zo goed als uw accountwachtwoord.
  • Ik ben het eens met Yepeekai. Als u een app met verhoogde rechten uitvoert, kan deze ook een keylogger installeren, malware installeren, uw hele pc wissen, uw gegevens versleutelen voor losgeld, enz. Voer geen enkele app uit die u niet ' gebruikt t 100% vertrouwen als admin. OOIT. Als je willekeurige apps als admin moet draaien, doe dit dan veilig in een VM of container waar de app dan uit de VM zou moeten springen om je wachtwoorden te stelen.

Antwoord

Ik heb gehoord dat het voor iemand vrij gemakkelijk is om toegang te krijgen tot deze gegevens zodra ze toegang hebben gekregen tot uw computer, is het zo?

Dat is niet zo.

Wachtwoorden die zijn opgeslagen in uw inloggegevenskluis worden (uiteindelijk) versleuteld met uw Windows-wachtwoord. Om toegang te krijgen tot de gecodeerde inloggegevens, hebben ze uw wachtwoord nodig.

  • Als iemand uw LastPass-wachtwoord kent, kunnen toegang krijgen tot uw opgeslagen gecodeerde wachtwoorden
  • als iemand uw Windows-wachtwoord kent, kunnen toegang tot uw opgeslagen gecodeerde wachtwoorden

Maar als iemand toegang heeft gekregen tot uw computer:

  • zij kan geen toegang krijgen tot uw LastPass-wachtwoorden (omdat ze “opnieuw zijn gecodeerd)
  • ze kunnen geen toegang tot uw Vault-wachtwoorden (omdat ze “opnieuw versleuteld zijn)

Bonuslezen

Technische details in de Data Protection API 🕗

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *