Hur säker är Windows Credential Manager?

Jag är Lastpass-användare och många gånger funderade jag på att byta till Credential Manager för automatisk synkronisering och en viss komfort med Windows-miljön. Det enda som jag är orolig för är dess säkerhet. Jag hörde att det är ganska lätt för någon att få åtkomst till dessa referenser när de har fått tillgång till din dator, är det så?

Ska jag hålla fast vid Lastpass och kanske i framtiden se efter eventuella förbättringar?

Kommentarer

  • Jag kan säga att alla förhöjd process kan helt enkelt hämta dina referenser i butiken och få tillbaka dem i klartext. Att ' handlar om allt jag med säkerhet kan bidra med.
  • @TechnikEmpire wow well .. bättre stanna långt långt ifrån det då
  • Faktiskt . Även med Windows 10 officiell universell appdokumentation marknadsför de butiken som en säker plats. Det ' är endast " säkert " om du litar på användarens maskin och varje enskild process som någonsin kommer att köras på det. Faktum är att ' till och med ett C # -bibliotek som gör att du kan få värdena för ren text i tio rader kod eller mindre. Det enda sättet jag ' använde detta är om jag lagrade en för hashad version av lösenordet istället för det faktiska lösenordet och jag bara behövde verifiera hashen lokalt.
  • Jag lade det till ett svar, eftersom ingen annan gjorde det. 🙂

Svar

Windows Credential Manager är allt annat än säkert. Det är ”säkert” på användarkontonivå, vilket innebär att alla processer som användaren någonsin kör och användaren själva nödvändigtvis måste lita på för att kunna kalla detta system ”säkert” med rak ansikte.

Det enda halvsäkra sättet att använda Windows Credential Manager är att lagra förvärvade värden och sedan verifiera dessa haschar. Eftersom alla förhöjda processer som användaren kör har full läs- / skrivfunktion i användarens referenslager, är det helt enkelt kan inte lita på alls.

Låt oss tänka på ”säker” i betydelsen att låsa en applikation lokalt. Låt oss ta exemplet med ett innehållsfilter som låser inställningssidan för att hindra barnen från aktivera vuxeninnehåll, med hjälp av Credential Manager för att lagra anpassade referenser. Samma användare, som försöker kringgå detta, kan göra det enkelt. En användare kan besöka referenshanteraren i kontrollpanelen och även om värdena visas i asterisker (*****) kan de helt enkelt radera värdet och ersätta det. Ta bort din hash, sätt in sina egna de ”åter in.

Vad som är ännu roligare är att kontrollpanelen visar asterisker, men om du använder kod för åtkomst till tillämpliga API: er kan du få värdena i oformatterad text. Så lösenord är inte säkra, hash och sådant som du verifierar för att låsa något är inte säkert. Det är inte säkert, det är en bit skräp och jag har kämpat länge för att förstå dess användbarhet, förutom att Microsoft tydligen har kopior i ren text av alla dina lösenord som de kan sälja till NSA.

Obs
Jag inser att det finns åtgärder du kan vidta för att kryptera innehåll innan du lagrar dem, hasar dem korrekt etc, men min kritik gäller fortfarande för att göra dessa ytterligare saker skapar säkerhet, inte Windows Credential Manager. Mitt problem med Windows Credential Manager är att det annonserar att det är säkert att använda det via det tillhandahållna GUI och / API.

Kommentarer

  • Du behöver ' behöver inte rulla ditt eget skydd när du använder Credential Manager. Applikationer ska använda DPAPI ' s " ytterligare entropi " par när du lagrar säkra data som lösenord. Denna extra entropi är i grunden ett sträng- eller huvudlösenord som inte ska lagras någonstans. Användaren måste ange detta lösenord i applikationen så att applikationen kan hämta de dekrypterade data. Sådan data i Credential Manager är säker från oseriösa processer förutom nyckelloggare eller låg kompromiss. Det ' är chockerande att Internet Explorer inte ' t använder ett huvudlösenord / ytterligare entropi.
  • Vad ' s ännu värre är att Outlook fortfarande använder Credential Manager under Generic Credentials om användaren väljer att komma ihåg sin inloggning.
  • ditt svar är inte bakom med fakta, det är skriven subjektivt (med rakt ansikte, etc). Användare A kan komma åt referenser för användare A men inte för användare B. Innehållet i valvet är krypterat men huvudnycklarna är förmodligen möjliga att extrahera när man tittar på ett bättre svar för en liknande fråga: säkerhet.stackexchange.com/a/177686
  • sv.wikipedia.org / wiki / Data_Protection_API Allt är krypterat. Säkerheten är lika bra som ditt kontolösenord.
  • Jag håller med Yepeekai. Om du kör en app med förhöjda behörigheter kan den också installera en nyckellogger, skadlig kod, radera hela din dator, kryptera dina data för lösen, etc. Kör inte någon app du inte ' t 100% förtroende som admin. NÅGONSIN. Om du behöver köra slumpmässiga appar som admin, gör det säkert i en virtuell dator eller behållare där appen då måste hoppa ut ur den virtuella datorn för att stjäla dina lösenord.

Svar

Jag hörde att det är ganska enkelt för någon att få åtkomst till dessa uppgifter när de har fått tillgång till din dator, är det så?

Det är inte så.

Lösenord som lagras i ditt referensvalv (slutligen) krypteras med ditt Windows-lösenord. För att få åtkomst till de krypterade referenserna måste de veta ditt lösenord.

  • om någon känner till ditt LastPass-lösenord kan de få åtkomst till dina lagrade krypterade lösenord
  • om någon känner till ditt Windows-lösenord kan de få åtkomst till dina sparade krypterade lösenord

Men om någon har fått tillgång till din dator:

  • de kan inte få åtkomst till dina LastPass-lösenord (eftersom de ”är krypterade)
  • de kan inte få åtkomst till dina valvlösenord (eftersom de ”är krypterade)

Bonusläsning

Tekniska detaljer i Data Protection API 🕗

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *