Sunt „un utilizator Lastpass și de multe ori m-am gândit să trec la Managerul de acreditări, pentru sincronizare automată și un anumit confort cu mediul Windows. Singurul lucru de care sunt îngrijorat este securitatea sa. Am auzit că este destul de ușor pentru cineva să acceseze aceste acreditări odată ce a câștigat acces la computer, nu-i așa?
Ar trebui să rămân cu Lastpass și poate să verific în viitor eventuale îmbunătățiri?
Comentarii
- Vă pot spune că orice procesul ridicat poate pur și simplu să vă aducă acreditările în magazin și să le recupereze în text simplu. Asta ' despre tot ce pot contribui cu încredere.
- @TechnikEmpire uau bine .. mai bine stai departe de el apoi
- Într-adevăr . Chiar și cu documentația oficială a aplicației universale Windows 10, acestea promovează magazinul ca un loc sigur. Este ' numai " securizat " dacă aveți încredere în mașina utilizatorilor și în fiecare proces care va funcționa vreodată pe el. De fapt, există ' chiar și o bibliotecă C # care vă face capabil să obțineți valorile textului simplu în 10 linii de cod sau mai puțin. Singurul mod în care ' aș folosi acest lucru este dacă am stocat o versiune pre-hash a parolei în locul parolei reale și am avut nevoie doar să verific hash-ul la nivel local.
- Am pus-o într-un răspuns, pentru că nimeni altcineva nu a făcut-o. 🙂
Răspuns
Managerul de acreditări Windows este orice altceva decât sigur. Este „sigur” la nivelul contului de utilizator, ceea ce înseamnă că orice proces pe care utilizatorul îl execută vreodată și utilizatorul însuși trebuie să fie neapărat de încredere pentru a numi acest sistem „sigur” cu o față dreaptă.
Singurul mod semi-sigur de utilizare a Managerului de acreditări Windows este de a stoca valorile pre-hash, apoi de a verifica acele hash-uri. Cu toate acestea, din moment ce orice proces ridicat pe care îl rulează utilizatorul are capacitate completă de citire / scriere în depozitul de acreditări al utilizatorului respectiv, pur și simplu nu se poate avea deloc încredere.
Să ne gândim la „securizat” în sensul blocării unei aplicații la nivel local. Să luăm exemplul unui filtru de conținut care blochează pagina de setări pentru a-i feri pe copii de activarea conținutului pentru adulți, folosind Managerul de acreditări pentru a stoca acreditări personalizate. Același utilizator, încercând să ocolească acest lucru, poate face acest lucru cu ușurință. Un utilizator poate vizita Managerul de acreditări din panoul de control și, deși valorile apar în asteriscuri, (*****), poate pur și simplu să șteargă valoarea și să o înlocuiască. Ștergeți hash-ul, puneți-l în propriile lor. „Păstrează.
Ceea ce este și mai absurd este că Panoul de control va afișa asteriscuri, dar dacă utilizați codul care accesează API-urile aplicabile, puteți obține valorile în text simplu. Deci parolele nu sunt sigure, hash-urile și astfel de verificări pentru a bloca ceva nu sunt sigure. Nu este sigur, este o bucată de gunoi și m-am străduit multă vreme să-i înțeleg utilitatea, cu excepția faptului că Microsoft are, aparent, copii cu text simplu ale tuturor parolelor pe care le pot vinde către NSA.
Notă
Îmi dau seama că există măsuri pe care le puteți lua pentru a cripta conținutul înainte de a le stoca, a le hashing corect etc, dar critica mea se aplică în continuare pentru că a face aceste lucruri suplimentare creează securitate, nu Windows Manager de acreditări. Problema mea cu Managerul de acreditări Windows este că anunță că utilizarea acestuia prin interfața grafică sau API furnizată este sigură.
Comentarii
- ' nu trebuie să vă rulați propria protecție atunci când utilizați Managerul de acreditări. Aplicațiile ar trebui să utilizeze DPAPI ' s " entropie suplimentară " par ameter la stocarea datelor sigure, cum ar fi parolele. Această entropie suplimentară este în esență un șir sau o parolă principală care nu trebuie stocată nicăieri. Utilizatorul trebuie să introducă această parolă în cadrul aplicației, astfel încât aplicația să poată prelua datele decriptate. Astfel de date din Managerul de acreditări sunt protejate de procesele necinstite, cu excepția jurnalelor de chei sau a unui compromis de nivel scăzut. Este ' șocant faptul că Internet Explorer nu utilizează ' nu folosește o parolă principală / entropie suplimentară.
- Ce ' și mai rău este că Outlook folosește în continuare Managerul de acreditări sub acreditări generice dacă utilizatorul alege să-și amintească datele de conectare.
- răspunsul dvs. nu este susținut cu fapte, este scris subiectiv (cu fața dreaptă etc.). Utilizatorul A poate accesa acreditările pentru utilizatorul A, dar nu și pentru utilizatorul B. Conținutul seifului este criptat, dar se presupune că se pot extrage cheile principale atunci când se caută un răspuns mai bun pentru o întrebare similară: security.stackexchange.com/a/177686
- en.wikipedia.org / wiki / Data_Protection_API Totul este criptat. Securitatea este la fel de bună ca și parola contului dvs.
- Sunt de acord cu Yepeekai. Dacă rulați o aplicație cu privilegii ridicate, aceasta poate instala, de asemenea, un logger de chei, programe malware, șterge întregul computer, cripta datele pentru răscumpărare etc. Nu rulați nicio aplicație pe care nu o aveți ' 100% încredere în calitate de administrator. VREODATĂ. Dacă trebuie să rulați aplicații aleatorii ca administrator, faceți-o în siguranță într-o mașină virtuală sau într-un container unde aplicația ar trebui să sară din mașina virtuală pentru a vă fura parolele.
Răspuns
Am auzit că este destul de ușor pentru cineva să acceseze aceste acreditări odată ce a câștigat acces computer, este așa?
Nu este așa.
Parolele stocate în seiful dvs. de acreditare sunt (în cele din urmă) criptate cu parola dvs. Windows. Pentru a accesa acreditările criptate, trebuie să știe parola dvs.
- dacă cineva vă cunoaște parola LastPass, poate accesați parolele criptate stocate
- dacă cineva vă cunoaște parola Windows, poate accesați parolele dvs. criptate stocate
Dar dacă cineva a obținut acces la computerul dvs.:
- ei nu poate să vă acceseze parolele LastPass (deoarece au fost „criptate)
- ele nu pot accesați parolele dvs. Vault (deoarece acestea sunt „criptate)
Citire bonus
Detalii tehnice din cadrul API-ului de protecție a datelor 🕗