Я использую буфер обмена Windows в качестве метода получения паролей из Lastpass в настольные приложения.
Мне было интересно, насколько это безопасно? Не может любая программа получить доступ к буферу обмена в любое время?
Я использую буфер обмена Windows в качестве метода получения паролей из Lastpass в настольные приложения.
Мне было интересно, насколько это безопасно? Не может любая программа получить доступ к буферу обмена в любое время?
Это не безопасно.
см. этот вопрос и ответ наSecurity.stackechange.com, закавыченный ниже:
буфер обмена Windows не надежности.
Это цитата из статья MSDN.
буфер обмена может использоваться для хранения данных, таких как текст и изображения. Поскольку буфер обмена является общим для всех активных процессов, он может быть используется для передачи данных между их.
Это, вероятно, должно относиться и к Linux машинам.
это проблема? Нет. Чтобы кто-то воспользовался этим, ему придется наличие вредоносных программ на компьютере, способных считывать данные с буфер. Если он имеет возможность получать вредоносные программы на вашем машина, у вас много большие вещи, чтобы беспокоиться о том, как есть много других вещей, которые он может сделать, включая кейлоггеры и тому подобное.
просто имейте в виду, что это не только приложения, которые могут иметь доступ к буферу обмена, и это не только вредоносные программы, которые на самом деле может понадобиться, чтобы получить его.
есть и пользователи, которые могут случайно или намеренно раскрыть содержимое буфера обмена после получения физического доступа к компьютеру. Конечно, тогда они могут нанести большой вред в любом случае, но получить фактический пароль (а не только доступ к веб-сайтам/программам) сложно (если у вас нет его в буфер...)
Так что либо убедитесь, что буфер обмена очищен (и это не на 100% надежно, так как некоторые приложения снова позволяют извлекать старые значения буфера обмена), либо используйте какое-то шифрование (это не тривиально, но даже легко защитит от случайной утечки пароля)
как все согласны, буфер обмена, как правило, небезопасно. Таким образом, следующий вопрос очевиден: как получить сложные пароли/парольные фразы из менеджера паролей туда, где они нужны, не подвергая их по пути.
ищите менеджер паролей, который имеет возможность "введите пароль в следующем окне вы нажимаете на" или аналогичный. Я не знаю никаких примеров, потому что я не параноик в отношении большинства паролей. (И я действительно запоминаю очень немногие повышенной безопасности пароли я использую, как мой собственный ключ GPG.)
сообщество wiki: редактировать в названиях программ, которые имеют эту функцию:
моя версия KeepassX, 0.4.3, предлагает очистку буфера обмена через X секунд (по умолчанию 20, но 8 в порядке)
Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]