Jestem użytkownikiem Lastpass i wiele razy myślałem o przejściu do Credential Manager, aby uzyskać automatyczną synchronizację i pewien komfort w środowisku Windows. Jedyna rzecz martwię się o jego bezpieczeństwo. Słyszałem, że ktoś może łatwo uzyskać dostęp do tych danych uwierzytelniających po uzyskaniu dostępu do Twojego komputera, czy tak jest?
Czy powinienem trzymać się Lastpass i może sprawdzić w przyszłości ewentualne ulepszenia?
Komentarze
- Mogę powiedzieć, że jakiekolwiek Podwyższony proces może po prostu pobrać twoje dane uwierzytelniające w sklepie i odzyskać je w postaci zwykłego tekstu. To ' to wszystko, co mogę z pewnością wnieść.
- @TechnikEmpire wow cóż … lepiej trzymaj się od tego z daleka.
- Rzeczywiście . Nawet jeśli mają oficjalną uniwersalną dokumentację aplikacji systemu Windows 10, promują sklep jako bezpieczne miejsce. ' jest " bezpieczny ", jeśli ufasz komputerowi użytkownika i każdemu pojedynczemu procesowi które kiedykolwiek będą na nim działać. W rzeczywistości ' jest nawet biblioteka C #, która umożliwia pobranie wartości zwykłego tekstu w 10 wierszach kodu lub mniej. Jedynym sposobem, w jaki ' d użyć tego, jest zapisanie wstępnie zakodowanej wersji hasła zamiast rzeczywistego hasła i potrzebowałem tylko lokalnego zweryfikowania skrótu.
- Umieściłem to w odpowiedzi, ponieważ nikt inny tego nie zrobił. 🙂
Odpowiedź
Menedżer poświadczeń systemu Windows nie jest bezpieczny. Jest „bezpieczny” na poziomie konta użytkownika, co oznacza, że każdy proces, który kiedykolwiek uruchamia użytkownik i sam użytkownik, musi koniecznie być zaufany, aby nazwać ten system „bezpiecznym” z powagą.
Jedynym częściowo bezpiecznym sposobem korzystania z Menedżera poświadczeń systemu Windows jest przechowywanie wartości wstępnie zaszyfrowanych, a następnie weryfikacja tych wartości. Jednakże, ponieważ każdy proces z podwyższonym poziomem uprawnień, który uruchamia użytkownik, ma pełne możliwości odczytu / zapisu w magazynie poświadczeń tego użytkownika, po prostu nie można w ogóle ufać.
Pomyślmy o „bezpiecznym” w sensie blokowania aplikacji lokalnie. Weźmy przykład filtra treści, który blokuje stronę ustawień, aby uniemożliwić dzieciom włączanie treści dla dorosłych za pomocą Menedżera poświadczeń do przechowywania niestandardowych poświadczeń. Ten sam użytkownik, próbując to ominąć, może to łatwo zrobić. Użytkownik może odwiedzić Menedżera poświadczeń w Panelu sterowania i chociaż wartości są wyświetlane gwiazdkami (*****), może po prostu usunąć wartość i zastąpić ją. Usuń swój skrót, wstaw własne, w którym się znajdują.
Jeszcze głupsze jest to, że Panel sterowania wyświetla gwiazdki, ale jeśli użyjesz kodu dostępu do odpowiednich interfejsów API, możesz uzyskać wartości w zwykły tekst. Więc hasła nie są bezpieczne, skróty i takie, które weryfikujesz, aby coś zablokować, nie są bezpieczne. To „nie jest bezpieczne”, to „śmieć” i przez długi czas starałem się zrozumieć jego użyteczność, z wyjątkiem tego, że Microsoft najwyraźniej ma kopie w postaci zwykłego tekstu wszystkich haseł, które mogą sprzedać NSA.
Uwaga
Zdaję sobie sprawę, że są środki, które możesz podjąć, aby zaszyfrować zawartość przed ich zapisaniem, zahaszowaniem ich poprawnie itp., ale moja krytyka jest nadal aktualna, ponieważ wykonywanie tych dodatkowych rzeczy tworzy bezpieczeństwo, a nie Windows Menedżer poświadczeń. Mój problem z Menedżerem poświadczeń systemu Windows polega na tym, że ogłasza on, że używanie go za pośrednictwem dostarczonego GUI i / lub interfejsu API jest bezpieczne.
Komentarze
- Nie ' nie musisz włączać własnej ochrony podczas korzystania z menedżera poświadczeń. Aplikacje powinny używać DPAPI ' s " dodatkowa entropia " par ameter podczas przechowywania bezpiecznych danych, takich jak hasła. Ta dodatkowa entropia to w zasadzie ciąg znaków lub hasło główne, które nie powinno być nigdzie przechowywane. Użytkownik musi wprowadzić to hasło w aplikacji, aby aplikacja mogła odzyskać odszyfrowane dane. Takie dane w menedżerze poświadczeń są zabezpieczone przed nieuczciwymi procesami, z wyjątkiem rejestratorów kluczy lub włamań niskiego poziomu. To ' szokujące, że Internet Explorer nie ' nie używa hasła głównego / dodatkowej entropii.
- Co ' Jeszcze gorsze jest to, że Outlook nadal używa Menedżera poświadczeń w ramach ogólnych poświadczeń, jeśli użytkownik zdecyduje się zapamiętać swój login.
- Twoja odpowiedź nie jest poparta faktami, jest to napisane subiektywnie (z kamienną twarzą itp.). Użytkownik A może uzyskać dostęp do poświadczeń użytkownika A, ale nie użytkownika B. Zawartość skarbca jest zaszyfrowana, ale klucze główne prawdopodobnie można wyodrębnić, szukając lepszej odpowiedzi na podobne pytanie: security.stackexchange.com/a/177686
- en.wikipedia.org / wiki / Data_Protection_API Wszystko jest zaszyfrowane. Bezpieczeństwo jest tak dobre, jak hasło do Twojego konta.
- Zgadzam się z Yepeekai. Jeśli uruchomisz aplikację z podwyższonymi uprawnieniami, może ona również zainstalować rejestrator kluczy, złośliwe oprogramowanie, wymazać cały komputer, zaszyfrować dane w celu okupu itp. Nie uruchamiaj żadnej aplikacji, której nie ' t 100% zaufania jako administrator. ZAWSZE. Jeśli chcesz uruchamiać losowe aplikacje jako administrator, zrób to bezpiecznie wewnątrz maszyny wirtualnej lub kontenera, gdzie aplikacja musiałaby wyskoczyć z maszyny wirtualnej, aby ukraść Twoje hasła.
Odpowiedź
Słyszałem, że ktoś może łatwo uzyskać dostęp do tych danych logowania, gdy uzyska dostęp do Twojego komputer, czy tak jest?
Tak nie jest.
Hasła przechowywane w magazynie danych logowania są (ostatecznie) szyfrowane za pomocą hasła systemu Windows. Aby uzyskać dostęp do zaszyfrowanych danych logowania, muszą znać Twoje hasło.
- Jeśli ktoś zna Twoje hasło LastPass, może uzyskać dostęp do zapisanych zaszyfrowanych haseł
- jeśli ktoś zna Twoje hasło do systemu Windows, może uzyskaj dostęp do swoich zapisanych zaszyfrowanych haseł
Ale jeśli ktoś uzyskał dostęp do Twojego komputera:
- nie może uzyskać dostęp do haseł LastPass (ponieważ są one ponownie zaszyfrowane)
- oni nie mogą uzyskać dostęp do haseł Vault (ponieważ są one ponownie zaszyfrowane)