Quanto sono sicuri gli Appunti di Windows?


49

Ho usato gli Appunti di Windows come metodo per ottenere le password da Lastpass nelle applicazioni desktop.

Mi chiedevo esattamente quanto sia sicuro? Nessun programma può accedere agli Appunti in qualsiasi momento?


1
Ricordo che l'accesso agli Appunti era abilitato di default in alcune (vecchie) versioni di IE (probabilmente IE6). Ho trovato questo link in cui MS ha messo una finestra di avviso ogni volta che un sito Web ha tentato di accedere agli Appunti, ma sembra che non ci fosse prima. Quindi se usi IE <= 6 (no, vero?) Potresti essere a rischio extra.
Carlos Campderrós,

3
L'esecuzione degli Appunti su un vecchio lettore VMWare condiviso in un ambiente di ufficio rivela molte cose interessanti sui tuoi colleghi. Ho sempre dovuto stare attento quando rispondevo alle persone del mio vecchio lavoro perché c'erano buone possibilità che se lo avessi tagliato e incollato sarebbe finito negli appunti del capo.
Peter Turner,

1
@ CarlosCampderrós Penso che il flash lo permetta ancora.
Codici A Caos il

2
KeePass ha un'opzione nelle impostazioni "Memoria": "Comportamento della lavagna: Migliorato: consente di incollare una volta e proteggere dalle spie degli Appunti"
DBedrenko

Risposte:


59

Non è sicuro

Vedi questa domanda e risposta su Security.stackechange.com , citato di seguito:

Gli appunti di Windows non sono sicuri.

Questa è una citazione da un articolo MSDN .

Gli Appunti possono essere utilizzati per archiviare dati, come testo e immagini. Poiché gli Appunti sono condivisi da tutti i processi attivi, possono essere utilizzati per trasferire dati tra loro.

Questo dovrebbe probabilmente applicarsi anche alle macchine Linux.

È una preoccupazione? No. Perché qualcuno possa sfruttarlo, dovrebbe avere malware sul tuo computer in grado di leggere i dati dagli appunti. Se ha la capacità di attirare malware sul tuo computer, hai cose molto più grandi di cui preoccuparti poiché ci sono molte altre cose che può fare, inclusi keylogger e simili.


4
Mentre è banale leggere i dati negli Appunti, come spiega Keltari, il fatto che tu abbia software dannoso che ti legge negli Appunti in primo luogo è la tua più grande preoccupazione. Questo è il motivo per cui copiare e incollare la password in un campo password non ha effetto sul mantenere la password sicura, la possibilità di farlo è la convinzione. Non digitare una password casuale sicura di 20-30 caratteri.
Ramhound,

2
Ovviamente la soglia è molto più bassa per il malware che legge gli Appunti (lo farà un pezzo di javascript interamente "legale" incorporato in una pagina Web) rispetto al malware che sfrutta il processo del browser o legge la memoria di un altro processo o installa un hook per catturare tasti premuti, ecc.
Damon,

24
@Damon Da quanto ho capito, JS non ha accesso casuale agli appunti proprio per questo motivo.
Colonnello trentadue

3
@Damon Secondo MDN , l'app deve avere l'autorizzazione per usare il comando incolla, quindi le pagine casuali non possono annusare gli appunti usando quello.
Colonnello Thirty Two 2

2
@zzzzBov - E cosa impedirebbe a qualcuno di aggiungere un pulsante in Javascript intitolato "Free Money - Click Here!", ma il pulsante in realtà copia gli appunti invece di darti soldi gratis?
Yay295

6

Ricorda solo che non sono solo le applicazioni che possono avere accesso agli Appunti e non è solo il malware che potrebbe effettivamente volerlo ottenere.

Ci sono anche utenti che possono rivelare accidentalmente o di proposito il contenuto degli appunti dopo aver ottenuto l'accesso fisico al computer. Certo, possono comunque fare molto male, ma ottenere la password effettiva (e non solo l'accesso a siti Web / programmi) è difficile (a meno che tu non l'abbia negli appunti ...)

Quindi assicurati che gli appunti siano puliti (e questo non è affidabile al 100% in quanto alcune applicazioni consentono nuovamente di recuperare i vecchi valori degli appunti) o usa un qualche tipo di crittografia (questo non è banale, ma anche uno facile proteggerà dalla perdita accidentale della password)


1
La crittografia non aiuta a questo. L'attacco non è contro la memoria in cui sono memorizzati gli Appunti (o la cronologia degli Appunti). L'attacco sta recuperando il contenuto degli Appunti utilizzando l'API standard degli Appunti (o un programma in esecuzione che lo legge o che un altro utente ottiene l'accesso temporaneo e avvia un incolla) .
Peter Cordes,

1
Non esattamente Peter, non conosciamo l'architettura della soluzione originale, ma se la tua applicazione inizialmente inserisce il contenuto negli Appunti e poi lo recupera, può modificare i dati in modo che siano comprensibili solo a se stesso. Quindi, quando qualcuno o anche te con qualcuno che guarda accidentalmente rivela il contenuto, non è ancora ovvio cosa ci fosse dentro e come usarlo. In ogni caso, rivelare una password in chiaro è la massima violazione della sicurezza possibile. Onestamente non prenderei mai in considerazione di copiarlo negli Appunti o nel file di testo, etx. Esistono modi migliori di comunicazione tra le app :)
mikus

3
@mikus mentre è vero, di solito non è così che funzionano gli appunti. Gli Appunti sono davvero utili solo per condividere contenuti da un'app all'altra. Una singola app può anche archiviare i contenuti crittografati in memoria per il successivo recupero ed evitare del tutto gli Appunti.
sinceramente il

In effetti, non ho mai detto diversamente, ma fintanto che non penso che nessuna applicazione commerciale come LastPass lasci nulla negli Appunti, immagino che l'autore abbia il controllo su entrambe le applicazioni. Quindi può scegliere qualsiasi codifica o crittografia desideri, giusto? e anche altri metodi di comunicazione :) Se il suo ultimo passaggio salva le password in chiaro negli appunti, allora non è l'applicazione giusta per usare l'IMO.
Mikus,

2

Come tutti concordano, gli appunti sono generalmente insicuri. Pertanto, la domanda di follow-up è ovvia: come ottenere password / passphrase complesse da un gestore di password in cui sono necessarie, senza esporle lungo il percorso.

Cerca un gestore di password che ha un'opzione per "digitare la password nella finestra successiva su cui fai clic" o simile. Non conosco alcun esempio, perché non sono così paranoico sulla maggior parte delle password. (E in realtà memorizzo le pochissime password ad alta sicurezza che uso, come la mia chiave privata GPG.)

Community wiki: modifica nei nomi dei programmi che hanno questa funzione:

  • KeePassX

La mia versione di KeepassX, 0.4.3, offre la cancellazione degli appunti dopo X secondi (il valore predefinito è 20 ma 8 va bene)

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.