Windows panosu ne kadar güvenli?

49

Windows panosunu Lastpass'tan masaüstü uygulamalarına parola almak için bir yöntem olarak kullanıyorum.

Bunun tam olarak ne kadar güvenli olduğunu merak ediyordum. Herhangi bir program panoya herhangi bir zamanda erişemez mi?

windows  security  clipboard 
kiri
kaynak
1
Pano erişiminin, IE’nin bazı (eski) sürümlerinde (muhtemelen IE6) varsayılan olarak etkin olduğunu hatırlıyorum. Bir web sitesinin panonuza erişmeye çalıştığı her defasında MS'in bir uyarı penceresi koyduğu bu bağlantıyı buldum , ancak daha önce orada olmadığı görülüyor. Bu yüzden eğer IE <= 6 kullanıyorsanız (doğru değil mi?) Ekstra risk altında olabilirsiniz.
Carlos Campderrós
3
Panoyu, paylaşılan eski bir VMWare Player'da bir ofis ortamında çalıştırmak, iş arkadaşlarınız hakkında birçok ilginç şey ortaya çıkarır. Eski iş yerimdeki insanlara cevap verirken her zaman dikkatli olmak zorundaydım çünkü kesip yapıştırdığımda patronun panosunda yer alması iyi bir ihtimaldi.
Peter Turner
1
@ CarlosCampderrós Bence hala flaş buna izin veriyor.
CodesInChaos
2
KeePass "Bellek" ayarlarında bir seçeneğe sahip: "Kripto davranışı: Geliştirilmiş: bir kerede yapıştırmaya izin ver ve pano casuslarına karşı koru"
DBedrenko 07:15
rastgele

Yanıtlar:

59

Güvenli değil.

Bu soruya ve aşağıda verilen Security.stackechange.com adresindeki cevaba bakın:

Windows panosu güvenli değil .

Bu bir MSDN makalesinden bir alıntıdır .

Pano, metin ve görüntüler gibi verileri depolamak için kullanılabilir. Pano, tüm aktif işlemler tarafından paylaşıldığından, bunlar arasında veri aktarmak için kullanılabilir.

Bu muhtemelen Linux makinelerinde de geçerli olmalıdır.

Bu bir endişe mi? Hayır. Birisinin bundan faydalanması için, makinenizde panodan veri okuyabilecek kötü amaçlı yazılım olması gerekir. Makinenize kötü amaçlı yazılım bulabilme özelliği varsa , keylogger'lar ve benzerleri de dahil olmak üzere yapabileceği daha birçok şey olduğu için endişelenmeniz gereken çok daha büyük şeyler vardır.

Keltari
kaynak
4
Panodaki verileri okumak önemsiz olsa da, Keltari'nin açıkladığı gibi, ilk başta sizi panoda okuyan kötü amaçlı yazılımlara sahip olmak sizin için en büyük sorun. Parolanızı bir parola alanına kopyalayıp yapıştırmanın sebebi parolanızı güvende tutmanıza etki etmemesi, bunu yapabilme kabiliyeti, 20-30 karakter güvenli rastgele parola yazmamanın ikna edilmesidir.
Ramhound
2
Elbette eşik, panodaki (tamamen "yasal" bir javascript web sayfasına yerleştirilmiş olan bir javascript yapacaktır) panosunu okuyan kötü amaçlı yazılımlar için tarayıcı işleminden yararlanan veya başka bir işlemin belleğini okuyan veya yakalamak için bir kanca yükleyen kötü amaçlı yazılım için çok daha düşüktür. keypresses, vb.
Damon
24
@Damon Anladığım kadarıyla, JS tam olarak bu sebepten dolayı panoya rastgele erişemiyor.
Albay Otuz İki
3
@Damon MDN'e göre , uygulamanın paste komutunu kullanma iznine sahip olması gerekiyor, bu nedenle rasgele sayfalar pano kullanarak bunu koklayamıyor .
Yarbay Otuz İki
2
@zzzzBov - Javascript'te "Ücretsiz Para - Buraya Tıklayın!" başlıklı düğmeyi eklemenin önünü kesiyor, ancak düğme aslında ücretsiz olarak para vermek yerine panonuzu kopyalıyor mu?
Yay295
6

Yalnızca panoya erişebilecek uygulamaların olmadığını ve aslında onu almak isteyebilecek kötü amaçlı yazılımların olmadığını unutmayın.

Ayrıca, bilgisayara fiziksel olarak eriştikten sonra yanlışlıkla veya bilerek pano içeriğini açığa çıkarabilecek kullanıcılar da vardır. Tabii ki, o zaman yine de çok fazla zarar verebilirler, ancak asıl şifreyi (ve sadece web sitelerine / programlara erişmekle değil) almak zordur (panoda yoksa)

Bu yüzden ya panonun temizlendiğinden emin olun (ve bazı uygulamalar tekrar eski pano değerlerini almaya izin verdiği için bu% 100 güvenilir değildir) ya da bir tür şifreleme kullanın (bu önemsiz değildir, ancak kolay bir bile yanlışlıkla parola sızıntısından korunur)

Mikus
kaynak
1
Şifreleme bunun için yardımcı olmaz. Saldırı, panonun (veya pano geçmişinin) depolandığı hafızaya karşı değil. Saldırı, standart pano API'sini kullanarak pano içeriğini alıyor (ya bunu çalıştıran bir program ya da geçici erişim kazanıp bir yapıştırma başlatıyor). .
Peter Cordes
1
Tam olarak Peter değil, orijinal çözümün mimarisini bilmiyoruz, ancak uygulamanız ilk önce içeriği panoya koyup sonra onu alırsa, verileri yalnızca kendi için anlaşılabilir olacak şekilde değiştirebilir. Bu yüzden, birisi veya siz bile yanlışlıkla arayan biriyle içeriği ortaya çıkardığınızda, içeride ne olduğu ve nasıl kullanılacağı henüz belli değil. Düz bir metin şifresi ortaya çıkarmanın herhangi bir yolu, aklıma gelen en yüksek güvenlik ihlalidir. Dürüstçe asla panoya veya metin dosyasına kopyalamayı düşünmem, etx. Uygulamalar arasında daha iyi iletişim yolları var :)
mikus
3
@mikus doğru iken, bu genellikle panoya çalışma şekli değildir. Pano, içeriği yalnızca bir uygulamadan diğerine paylaşmak için kullanışlıdır. Tek bir uygulama, şifreli içerikleri daha sonra geri almak için bellekte saklayabilir ve panodan tamamen kaçınabilir.
trlkly
Aslında, başka türlü söylemedim, ancak LastPass gibi ticari bir uygulama panoda bir şey bırakmadığını sanmadığım sürece, yazarın her iki uygulama üzerinde da kontrolü olduğunu sanıyorum. Sonra istediği kodlama veya şifrelemeyi seçebilir, değil mi? ve diğer iletişim yöntemleri de :) Panodaki son şifresini kaydeden düz metin şifreleri varsa, IMO kullanmak doğru bir uygulama değildir.
mikus
2

Herkesin kabul ettiği gibi, pano genellikle güvensizdir. Bu nedenle, takip sorusu açıktır: bir şifre yöneticisinden, ihtiyaç duyulan yere karmaşık yollardan / parolaların, yol boyunca açıklanmadan nasıl elde edilebileceği açıktır.

"Parolanızı tıkladığınız bir sonraki pencereye yazma" seçeneğine veya benzerine sahip bir şifre yöneticisi arayın. Hiçbir örnek bilmiyorum, çünkü çoğu şifre hakkında o kadar paranoyak değilim. (Ve GPG özel anahtarım gibi kullandığım birkaç yüksek güvenlik şifresini gerçekten ezberliyorum.)

Topluluk wiki: Bu özelliğe sahip programların adlarını düzenleyin:

  • KeePassX

KeepassX, 0.4.3 sürümüm, X saniyeden sonra panoyu temizlemeyi önerir (varsayılan olarak 20'dir, ancak 8 iyidir)

Peter Cordes
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.