Я використовую буфер обміну Windows як метод отримання паролів від Lastpass у настільних додатках.
Мені було цікаво, наскільки це безпечно? Не можете жодна програма отримати доступ до буфера обміну в будь-який час?
Я використовую буфер обміну Windows як метод отримання паролів від Lastpass у настільних додатках.
Мені було цікаво, наскільки це безпечно? Не можете жодна програма отримати доступ до буфера обміну в будь-який час?
Відповіді:
Це не безпечно.
Дивіться це запитання та відповідь на Security.stackechange.com , цитується нижче:
Буфер обміну Windows не захищений.
Це цитата зі статті MSDN .
Буфер обміну може бути використаний для зберігання даних, таких як текст та зображення. Оскільки буфер обміну є спільним для всіх активних процесів, його можна використовувати для передачі даних між ними.
Це, мабуть, має стосуватися і машин Linux.
Це турбота? Ні. Для того, щоб хтось цим скористатися, йому доведеться мати на вашій машині зловмисне програмне забезпечення, здатне читати дані з буфера обміну. Якщо у нього є можливість отримати зловмисне програмне забезпечення на вашій машині, ви можете турбуватися про набагато більші речі, оскільки він може робити багато інших речей, включаючи кейлоггери тощо.
Пам’ятайте лише про те, що отримати доступ до буфера обміну можуть не лише програми, а насправді це не лише зловмисне програмне забезпечення.
Також є користувачі, які можуть випадково або спеціально розкрити вміст буфера обміну після отримання фізичного доступу до комп'ютера. Звичайно, тоді вони можуть завдати великої шкоди в будь-якому випадку, але отримати фактичний пароль (а не лише доступ до веб-сайтів / програм) важко (якщо ви не маєте його в буфері обміну ...)
Тож переконайтесь, що буфер обміну очищено (і це не на 100% надійно, оскільки деякі програми знову дозволяють отримати старі значення буфера обміну), або використовуйте якесь шифрування (це не банально, але навіть легко захистить від випадкового витоку пароля)
Як всі згодні, буфер обміну, як правило, не є безпечним. Отже, наступне питання очевидний: як отримати складні паролі / паролі від менеджера паролів туди, де вони потрібні, не виставляючи їх по дорозі.
Шукайте менеджера паролів, який має можливість "ввести свій пароль у наступне вікно, яке ви натискаєте" або подібне. Я не знаю жодного прикладу, тому що я не параноїк щодо більшості паролів. (І я фактично запам'ятовую дуже мало паролів високої безпеки, які я використовую, як-от мій приватний ключ GPG.)
Вікі спільноти: редагуйте назви програм, які мають цю функцію:
Моя версія KeepassX, 0.4.3, пропонує очищення буфера обміну через X секунд (за замовчуванням до 20, але 8 добре)