¿Qué tan seguro es el Administrador de credenciales de Windows?

Soy un usuario de Lastpass y muchas veces pensé en cambiar al Administrador de Credenciales, para sincronizar automáticamente y tener cierta comodidad con el entorno de Windows. Lo único lo que me preocupa es su seguridad. Escuché que es bastante fácil para alguien acceder a estas credenciales una vez que ha obtenido acceso a su computadora, ¿es así?

¿Debería seguir con Lastpass y tal vez comprobar en el futuro posibles mejoras?

Comentarios

  • Puedo decirte que cualquier El proceso elevado puede simplemente buscar sus credenciales en la tienda y recuperarlas en texto sin formato. Eso ' es todo lo que puedo contribuir con confianza.
  • @TechnikEmpire wow bien … mejor mantente lejos de eso entonces
  • De hecho . Incluso con la documentación oficial de la aplicación universal de Windows 10, promueven la tienda como un lugar seguro. Es ' solo " seguro " si confías en la máquina del usuario y en cada proceso. que alguna vez se ejecutará en él. De hecho, existe ' incluso una biblioteca C # que le permite obtener los valores de texto sin formato en 10 líneas de código o menos. La única forma en que ' usaría esto es si almacené una versión previamente hash de la contraseña en lugar de la contraseña real y solo necesitaba verificar el hash localmente.
  • Lo puse en una respuesta, porque nadie más lo hizo. 🙂

Respuesta

El Administrador de credenciales de Windows es cualquier cosa menos seguro. Es «seguro» a nivel de cuenta de usuario, lo que significa que cualquier proceso que el usuario ejecute y los propios usuarios deben ser necesariamente de confianza para llamar a este sistema «seguro» con seriedad.

La única forma semisegura de usar el Administrador de credenciales de Windows es almacenar valores previamente hash y luego verificar esos hash. Sin embargo, dado que cualquier proceso elevado que ejecuta el usuario tiene capacidad de lectura / escritura completa en el almacenamiento de credenciales de ese usuario, simplemente no se puede confiar en absoluto.

Pensemos en «seguro» en el sentido de bloquear una aplicación localmente. Tomemos el ejemplo de un filtro de contenido que bloquea la página de configuración para evitar que los niños habilitar contenido para adultos, utilizando Credential Manager para almacenar credenciales personalizadas. El mismo usuario, tratando de evitar esto, puede hacerlo fácilmente. Un usuario puede visitar el Administrador de credenciales en el Panel de control y, aunque los valores aparecen en asteriscos, (*****), simplemente puede borrar el valor y reemplazarlo. Borre su hash, ponga el suyo en el que están.

Lo que es aún más tonto es que el Panel de control mostrará asteriscos, pero si usa código para acceder a las API correspondientes, puede obtener los valores en Texto sin formato. Por lo tanto, las contraseñas no son seguras, los hash y todo lo que verifique para bloquear algo no lo son. No es seguro, es un pedazo de basura y he luchado durante mucho tiempo para comprender su utilidad, excepto que Microsoft aparentemente tiene copias de texto sin formato de todas sus contraseñas que pueden vender a la NSA.

Nota
Me doy cuenta de que hay medidas que puede tomar para cifrar el contenido antes de almacenarlos, hacerlos hash correctamente, etc., pero mi crítica todavía se aplica porque hacer estas cosas adicionales es crear seguridad, no Windows Administrador de credenciales. Mi problema con el Administrador de credenciales de Windows es que anuncia que usarlo a través de su GUI o API proporcionada es seguro.

Comentarios

  • No ' no necesita usar su propia protección cuando usa el Administrador de credenciales. Las aplicaciones deben usar DPAPI ' s " entropía adicional " par ameter al almacenar datos seguros como contraseñas. Esta entropía adicional es básicamente una cadena o contraseña maestra que no debe almacenarse en ningún lugar. El usuario debe ingresar esta contraseña dentro de la aplicación para que la aplicación pueda recuperar los datos descifrados. Dichos datos en Credential Manager están protegidos de procesos fraudulentos, excepto registradores de claves o compromiso de bajo nivel. Es ' impactante que Internet Explorer no ' no use una contraseña maestra / entropía adicional.
  • Qué ' s aún peor es que Outlook todavía está usando Credential Manager bajo Credenciales genéricas si el usuario opta por recordar su inicio de sesión.
  • su respuesta no está respaldada con hechos, es escrito subjetivamente (con cara seria, etc.). El usuario A puede acceder a las credenciales del usuario A pero no del usuario B. El contenido de la bóveda está encriptado, pero se supone que las claves maestras se pueden extraer cuando se busca una mejor respuesta para una pregunta similar: security.stackexchange.com/a/177686
  • en.wikipedia.org / wiki / Data_Protection_API Todo está encriptado. La seguridad es tan buena como la contraseña de su cuenta.
  • Estoy de acuerdo con Yepeekai. Si ejecuta una aplicación con privilegios elevados, también puede instalar un registrador de claves, malware, borrar toda su PC, cifrar sus datos para obtener un rescate, etc. No ejecute ninguna aplicación que no tenga ' t 100% de confianza como administrador. ALGUNA VEZ. Si necesita ejecutar aplicaciones aleatorias como administrador, hágalo de forma segura dentro de una VM o contenedor donde la aplicación tendría que saltar de la VM para robar sus contraseñas.

Respuesta

Escuché que es bastante fácil para alguien acceder a estas credenciales una vez que ha obtenido acceso a su computadora, ¿es así?

No es así.

Las contraseñas almacenadas en su bóveda de credenciales están (en última instancia) encriptadas con su contraseña de Windows. Para acceder a las credenciales cifradas, necesitan conocer su contraseña.

  • si alguien conoce su contraseña de LastPass, puede acceder a sus contraseñas cifradas almacenadas
  • si alguien conoce su contraseña de Windows, puede acceder a sus contraseñas cifradas almacenadas

Pero si alguien ha obtenido acceso a su computadora:

  • ellos no puede acceder a sus contraseñas de LastPass (porque están «encriptadas)
  • ellos no pueden acceder a sus contraseñas de Vault (porque están «cifradas)

Lectura adicional

Detalles técnicos dentro de la API de protección de datos 🕗

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *