Wie sicher ist die Windows-Zwischenablage?

49

Ich habe die Windows-Zwischenablage als Methode zum Abrufen von Kennwörtern aus Lastpass in Desktopanwendungen verwendet.

Ich habe mich gefragt, wie sicher das ist. Kann kein Programm jederzeit auf die Zwischenablage zugreifen?

kiri
quelle
1
Ich erinnere mich, dass der Zugriff auf die Zwischenablage in einigen (alten) Versionen des IE (wahrscheinlich IE6) standardmäßig aktiviert war. Ich habe diesen Link gefunden, über den MS jedes Mal ein Warnfenster anzeigt, wenn eine Website versucht, auf Ihre Zwischenablage zuzugreifen, aber es sieht so aus, als ob sie vorher nicht dort war. Wenn Sie also IE <= 6 verwenden (stimmt das nicht?), Besteht möglicherweise ein zusätzliches Risiko.
Carlos Campderrós
3
Das Ausführen der Zwischenablage auf einem alten freigegebenen VMWare-Player in einer Büroumgebung enthüllt viele interessante Dinge über Ihre Kollegen. Ich musste immer vorsichtig sein, wenn ich auf Leute an meinem alten Arbeitsplatz reagierte, denn es bestand eine gute Chance, dass das Ausschneiden und Einfügen in der Zwischenablage des Chefs landete.
Peter Turner
1
@ CarlosCampderrós Ich denke Flash erlaubt das noch.
CodesInChaos
2
KeePass hat eine Option in den "Speicher" -Einstellungen: "Verhalten der Zwischenablage: Verbessert: einmaliges Einfügen zulassen und gegen Spione aus der Zwischenablage schützen"
DBedrenko

Antworten:

59

Es ist nicht sicher.

Diese Frage und Antwort finden Sie auf Security.stackechange.com ( siehe unten):

Die Windows-Zwischenablage ist nicht sicher.

Dies ist ein Zitat aus einem MSDN-Artikel .

In der Zwischenablage können Daten wie Text und Bilder gespeichert werden. Da die Zwischenablage von allen aktiven Prozessen gemeinsam genutzt wird, können Daten zwischen diesen Prozessen übertragen werden.

Dies sollte wahrscheinlich auch für Linux-Rechner gelten.

Ist das ein Anliegen? Nein. Um dies auszunutzen, muss auf Ihrem Computer Malware installiert sein, die Daten aus der Zwischenablage lesen kann. Wenn er in der Lage ist, Malware auf Ihren Computer zu bringen, müssen Sie sich um viel mehr Sorgen machen, da er noch viele andere Dinge erledigen kann, darunter Keylogger und ähnliches.

Keltari
quelle
4
Während es trivial ist, die Daten in der Zwischenablage zu lesen, wie Keltari erklärt, ist die Tatsache, dass Ihre Zwischenablage von schädlicher Software gelesen wird, Ihr größeres Anliegen. Dies ist der Grund, warum das Kopieren und Einfügen Ihres Passworts in ein Passwortfeld keinen Einfluss auf die Sicherheit Ihres Passworts hat. Dies ist überzeugend, wenn Sie kein zufälliges, aus 20 bis 30 Zeichen bestehendes sicheres Passwort eingeben.
Ramhound
2
Natürlich liegt der Schwellenwert für Malware, die die Zwischenablage liest (ein vollständig "legaler" Teil von Javascript, der in eine Webseite eingebettet ist, reicht aus), viel niedriger als für Malware, die den Browserprozess ausnutzt oder den Speicher eines anderen Prozesses liest oder einen zu erfassenden Hook installiert Tastendrücke usw.
Damon
24
@Damon Soweit ich weiß, hat JS aus genau diesem Grund keinen wahlfreien Zugriff auf die Zwischenablage.
Colonel Zweiunddreißig
3
@Damon Laut MDN muss die App über die Berechtigung verfügen, den Befehl Einfügen zu verwenden, damit zufällige Seiten damit nicht an Ihrer Zwischenablage riechen können.
Colonel Zweiunddreißig
2
@zzzzBov - Und was würde jemanden davon abhalten, einen Button in Javascript mit dem Titel "Free Money - Click Here!" hinzuzufügen, aber der Button kopiert tatsächlich Ihre Zwischenablage, anstatt Ihnen Geld kostenlos zu geben?
7.
6

Denken Sie nur daran, dass möglicherweise nicht nur die Anwendungen Zugriff auf die Zwischenablage haben, sondern möglicherweise auch Malware.

Es gibt auch Benutzer, die versehentlich oder absichtlich den Inhalt der Zwischenablage anzeigen, nachdem sie physischen Zugriff auf den Computer erhalten haben. Natürlich können sie dann trotzdem viel Schaden anrichten, aber das tatsächliche Passwort (und nicht nur den Zugriff auf Websites / Programme) zu erhalten, ist schwierig (es sei denn, Sie haben es in der Zwischenablage ...)

Stellen Sie also entweder sicher, dass die Zwischenablage bereinigt ist (und dies ist nicht 100% zuverlässig, da einige Anwendungen erneut das Abrufen alter Werte in der Zwischenablage ermöglichen) oder verwenden Sie eine Verschlüsselung (dies ist nicht trivial, aber selbst eine einfache Verschlüsselung schützt vor versehentlichem Kennwortverlust).

Mikus
quelle
1
Verschlüsselung hilft hier nicht weiter. Der Angriff richtet sich nicht gegen den Speicher, in dem die Zwischenablage (oder der Verlauf der Zwischenablage) gespeichert ist. Der Angriff ruft den Inhalt der Zwischenablage über die Standard-Zwischenablage-API ab (entweder ein laufendes Programm, das ihn liest, oder ein anderer Benutzer, der vorübergehend Zugriff erhält und das Einfügen initiiert). .
Peter Cordes
1
Nicht gerade Peter, wir kennen die Architektur der ursprünglichen Lösung nicht, aber wenn Ihre Anwendung den Inhalt zuerst in die Zwischenablage legt und ihn dann abruft, kann sie die Daten so ändern, dass sie nur für sich selbst verständlich sind. Wenn also jemand oder sogar Sie mit jemandem, der versehentlich aufpasst, den Inhalt enthüllt, ist es noch nicht klar, was sich darin befand und wie man es verwendet. Die Offenlegung eines Nur-Text-Passworts ist für mich die höchstmögliche Sicherheitsverletzung. Ich würde ehrlich gesagt nie in Betracht ziehen, es in die Zwischenablage oder in eine Textdatei zu kopieren, etx. Es gibt bessere Möglichkeiten der Kommunikation zwischen Apps :)
Mikus
3
@mikus während wahr, dies ist normalerweise nicht die Art und Weise, wie die Zwischenablage funktioniert. Die Zwischenablage ist wirklich nur nützlich, um Inhalte von einer App an eine andere weiterzugeben. Eine einzelne App kann auch nur den verschlüsselten Inhalt für einen späteren Abruf im Speicher speichern und die Zwischenablage insgesamt vermeiden.
Trlkly
In der Tat habe ich nie etwas anderes gesagt, aber solange ich glaube, dass keine kommerzielle Anwendung wie LastPass irgendetwas in der Zwischenablage belässt, hat der Autor die Kontrolle über beide Anwendungen. Dann kann er wählen, welche Codierung oder Verschlüsselung er will, oder? und andere Kommunikationsmethoden auch :) Wenn sein letzter Durchgang Klartext-Passwörter in der Zwischenablage speichert, dann ist es einfach nicht die richtige Anwendung, um IMO zu verwenden.
Mikus
2

Wie alle zustimmen, ist die Zwischenablage im Allgemeinen unsicher. Daher ist die folgende Frage offensichtlich: Wie kann man komplexe Passwörter / Passphrasen von einem Passwort-Manager dahin bringen, wo sie gebraucht werden, ohne sie dabei preiszugeben?

Suchen Sie nach einem Passwort-Manager mit der Option "Geben Sie Ihr Passwort in das nächste Fenster ein, auf das Sie klicken" oder ähnlichem. Ich kenne keine Beispiele, weil ich mit den meisten Passwörtern nicht so paranoid bin. (Und ich erinnere mich tatsächlich an die wenigen hochsicheren Passwörter, die ich verwende, wie meinen privaten GPG-Schlüssel.)

Community-Wiki: Bearbeiten Sie die Namen von Programmen, die diese Funktion haben:

  • KeePassX

Meine Version von KeepassX, 0.4.3, bietet das Löschen der Zwischenablage nach X Sekunden (standardmäßig 20, aber 8 ist in Ordnung).

Peter Cordes
quelle