Ho usato gli Appunti di Windows come metodo per ottenere le password da Lastpass nelle applicazioni desktop.
Mi chiedevo esattamente quanto sia sicuro? Nessun programma può accedere agli Appunti in qualsiasi momento?
Ho usato gli Appunti di Windows come metodo per ottenere le password da Lastpass nelle applicazioni desktop.
Mi chiedevo esattamente quanto sia sicuro? Nessun programma può accedere agli Appunti in qualsiasi momento?
Risposte:
Non è sicuro
Vedi questa domanda e risposta su Security.stackechange.com , citato di seguito:
Gli appunti di Windows non sono sicuri.
Questa è una citazione da un articolo MSDN .
Gli Appunti possono essere utilizzati per archiviare dati, come testo e immagini. Poiché gli Appunti sono condivisi da tutti i processi attivi, possono essere utilizzati per trasferire dati tra loro.
Questo dovrebbe probabilmente applicarsi anche alle macchine Linux.
È una preoccupazione? No. Perché qualcuno possa sfruttarlo, dovrebbe avere malware sul tuo computer in grado di leggere i dati dagli appunti. Se ha la capacità di attirare malware sul tuo computer, hai cose molto più grandi di cui preoccuparti poiché ci sono molte altre cose che può fare, inclusi keylogger e simili.
Ricorda solo che non sono solo le applicazioni che possono avere accesso agli Appunti e non è solo il malware che potrebbe effettivamente volerlo ottenere.
Ci sono anche utenti che possono rivelare accidentalmente o di proposito il contenuto degli appunti dopo aver ottenuto l'accesso fisico al computer. Certo, possono comunque fare molto male, ma ottenere la password effettiva (e non solo l'accesso a siti Web / programmi) è difficile (a meno che tu non l'abbia negli appunti ...)
Quindi assicurati che gli appunti siano puliti (e questo non è affidabile al 100% in quanto alcune applicazioni consentono nuovamente di recuperare i vecchi valori degli appunti) o usa un qualche tipo di crittografia (questo non è banale, ma anche uno facile proteggerà dalla perdita accidentale della password)
Come tutti concordano, gli appunti sono generalmente insicuri. Pertanto, la domanda di follow-up è ovvia: come ottenere password / passphrase complesse da un gestore di password in cui sono necessarie, senza esporle lungo il percorso.
Cerca un gestore di password che ha un'opzione per "digitare la password nella finestra successiva su cui fai clic" o simile. Non conosco alcun esempio, perché non sono così paranoico sulla maggior parte delle password. (E in realtà memorizzo le pochissime password ad alta sicurezza che uso, come la mia chiave privata GPG.)
Community wiki: modifica nei nomi dei programmi che hanno questa funzione:
La mia versione di KeepassX, 0.4.3, offre la cancellazione degli appunti dopo X secondi (il valore predefinito è 20 ma 8 va bene)