Làm thế nào an toàn là clipboard Windows?

Tôi đã sử dụng bảng tạm Windows như một phương pháp lấy mật khẩu từ Lastpass vào các ứng dụng trên máy tính để bàn.

Tôi đã tự hỏi chính xác làm thế nào là an toàn này? Bất kỳ chương trình nào có thể truy cập vào bảng tạm bất cứ lúc nào?

windows security clipboard

— kiri
nguồn

Tôi nhớ rằng truy cập clipboard được bật theo mặc định trong một số phiên bản (cũ) của IE (có thể là IE6). Tôi đã tìm thấy liên kết này nơi MS đặt một cửa sổ cảnh báo mỗi khi một trang web cố gắng truy cập vào bảng tạm của bạn, nhưng có vẻ như nó không ở đó sớm hơn. Vì vậy, nếu bạn sử dụng IE <= 6 (bạn không, phải không?) Bạn có thể gặp rủi ro cao hơn.

— Carlos Campderrós

Chạy bảng tạm trên Trình phát VMWare được chia sẻ cũ trong cài đặt văn phòng cho thấy nhiều điều thú vị về đồng nghiệp của bạn. Tôi luôn phải cẩn thận khi trả lời mọi người ở công việc cũ của mình vì có một cơ hội tốt nếu tôi cắt và dán nó sẽ cuộn lại trong bảng tạm của sếp.

— Peter Turner

@ CarlosCampderrós Tôi nghĩ flash vẫn cho phép điều đó.

— CodeInChaos

KeePass có một tùy chọn trong cài đặt "Bộ nhớ": "Hành vi của CLipboard: Nâng cao: cho phép dán một lần và bảo vệ chống lại gián điệp clipboard"

— DBedrenko 7/07/2015

superuser.com/questions/412083/ Mạnh

— ngẫu nhiên

Câu trả lời:

Nó không an toàn.

Xem câu hỏi và câu trả lời này trên Security.stackechange.com , được trích dẫn dưới đây:

Bảng tạm Windows không an toàn.

Đây là một trích dẫn từ một bài báo MSDN .

Clipboard có thể được sử dụng để lưu trữ dữ liệu, chẳng hạn như văn bản và hình ảnh. Bởi vì Clipboard được chia sẻ bởi tất cả các quy trình hoạt động, nó có thể được sử dụng để truyền dữ liệu giữa chúng.

Điều này có lẽ cũng nên áp dụng cho các máy Linux.

Đây có phải là một mối quan tâm? Không. Để ai đó khai thác điều này, anh ta sẽ phải có phần mềm độc hại trên máy của bạn có khả năng đọc dữ liệu từ bảng ghi tạm. Nếu anh ta có khả năng tải phần mềm độc hại vào máy của bạn, bạn có nhiều thứ phải lo lắng hơn vì có rất nhiều thứ khác anh ta có thể làm, bao gồm cả keylogger và những thứ tương tự.

— Keltari
nguồn

Mặc dù việc đọc dữ liệu trong bảng tạm là không quan trọng, như Keltari giải thích, thực tế bạn có phần mềm độc hại đọc bảng tạm ở vị trí đầu tiên là mối quan tâm lớn hơn của bạn. Đây là lý do sao chép và dán mật khẩu của bạn vào trường mật khẩu không ảnh hưởng đến việc giữ an toàn cho mật khẩu của bạn, khả năng thực hiện là rất thuyết phục. Nếu không nhập mật khẩu ngẫu nhiên an toàn 20-30 ký tự.

— Ramhound

Tất nhiên, ngưỡng thấp hơn nhiều đối với phần mềm độc hại đọc bảng tạm (một đoạn javascript hoàn toàn "hợp pháp" được nhúng trong trang web sẽ làm) so với phần mềm độc hại khai thác quy trình trình duyệt hoặc đọc bộ nhớ của quy trình khác hoặc cài đặt một hook để nắm bắt nhấn phím, v.v.

— Damon

@Damon Từ những gì tôi hiểu, JS không có quyền truy cập ngẫu nhiên vào bảng tạm vì lý do này chính xác.

— Đại tá Ba mươi Hai

@Damon Theo MDN , ứng dụng cần có quyền sử dụng lệnh dán, vì vậy các trang ngẫu nhiên không thể đánh hơi được bảng tạm của bạn bằng cách sử dụng.

— Đại tá Ba mươi Hai

@zzzzBov - Và điều gì sẽ ngăn ai đó thêm một nút trong Javascript có tiêu đề "Tiền miễn phí - Nhấp vào đây!", nhưng nút này thực sự sao chép bảng tạm của bạn thay vì cho bạn tiền miễn phí?

— Yay295

Hãy nhớ rằng không chỉ các ứng dụng có thể có quyền truy cập vào bảng tạm và đó không chỉ là phần mềm độc hại thực sự có thể muốn lấy nó.

Cũng có những người dùng có thể vô tình hoặc cố ý tiết lộ nội dung của bảng tạm sau khi truy cập vật lý vào máy tính. Tất nhiên, sau đó họ có thể gây hại rất nhiều, nhưng lấy mật khẩu thực tế (và không chỉ truy cập vào các trang web / chương trình) là khó (trừ khi bạn có nó trong bảng tạm ...)

Vì vậy, hãy đảm bảo rằng bảng tạm được làm sạch (và điều này không đáng tin cậy 100% vì một số ứng dụng lại cho phép truy xuất các giá trị bảng tạm cũ) hoặc sử dụng một số loại mã hóa (điều này không tầm thường, nhưng thậm chí dễ dàng sẽ bảo vệ khỏi rò rỉ mật khẩu ngẫu nhiên)

— mikus
nguồn

Mã hóa sẽ không giúp ích cho việc này. Cuộc tấn công không nhằm vào bộ nhớ mà bảng tạm (hoặc lịch sử clipboard) được lưu trữ. Cuộc tấn công đang truy xuất nội dung của bảng tạm bằng cách sử dụng API bảng tạm chuẩn (có thể là chương trình đang chạy hoặc người dùng khác có quyền truy cập tạm thời và bắt đầu dán) .

— Peter Cordes

Không chính xác Peter, chúng tôi không biết kiến trúc của giải pháp ban đầu, nhưng nếu ứng dụng của bạn lúc đầu đưa nội dung vào bảng tạm và sau đó lấy nó, nó có thể sửa đổi dữ liệu theo cách mà nó chỉ có thể hiểu được. Vì vậy, khi ai đó hoặc thậm chí bạn với ai đó đang vô tình tiết lộ nội dung thì vẫn chưa rõ nội dung bên trong và cách sử dụng nội dung đó. Bất kỳ cách nào tiết lộ một mật khẩu văn bản đơn giản là trong tâm trí của tôi vi phạm bảo mật cao nhất có thể. Thành thật tôi không bao giờ xem xét việc sao chép nó vào clipboard hoặc tệp văn bản, etx. Có nhiều cách giao tiếp tốt hơn giữa các ứng dụng :)

— mikus 7/07/2015

@mikus trong khi sự thật, đây thường không phải là cách hoạt động của clipboard. Bảng tạm thực sự chỉ hữu ích để chia sẻ nội dung từ ứng dụng này sang ứng dụng khác. Một ứng dụng duy nhất cũng có thể chỉ lưu trữ nội dung được mã hóa trong bộ nhớ để truy xuất sau đó và tránh hoàn toàn bảng tạm.

— trlkly 7/07/2015

Thật vậy, tôi chưa bao giờ nói khác, nhưng miễn là tôi không nghĩ bất kỳ ứng dụng thương mại nào như LastPass để lại bất cứ thứ gì trong clipboard, tôi đoán tác giả có quyền kiểm soát cả hai ứng dụng. Sau đó, anh ta có thể chọn bất kỳ mã hóa hoặc mã hóa nào anh ta muốn, phải không? và các phương thức liên lạc khác nữa :) Nếu cuối cùng nó lưu mật khẩu văn bản gốc trong clipboard, thì ứng dụng này không đúng để sử dụng IMO.

— mikus

Như mọi người đồng ý, bảng tạm nói chung là không an toàn. Do đó, câu hỏi tiếp theo rất rõ ràng: làm thế nào để có được mật khẩu / cụm mật khẩu phức tạp từ trình quản lý mật khẩu vào nơi cần thiết, mà không để lộ chúng trên đường đi.

Hãy tìm một trình quản lý mật khẩu có tùy chọn "nhập mật khẩu của bạn vào cửa sổ tiếp theo bạn nhấp vào" hoặc tương tự. Tôi không biết bất kỳ ví dụ nào, vì tôi không hoang tưởng về hầu hết các mật khẩu. (Và tôi thực sự ghi nhớ rất ít mật khẩu bảo mật cao mà tôi sử dụng, như khóa riêng GPG của tôi.)

Wiki cộng đồng: chỉnh sửa tên của các chương trình có tính năng này:

KeePassX

Phiên bản KeepassX của tôi, 0.4.3, cung cấp xóa bảng tạm sau X giây (mặc định là 20 nhưng 8 vẫn ổn)

— Peter Cordes
nguồn