คลิปบอร์ด Windows ปลอดภัยแค่ไหน?

ฉันใช้คลิปบอร์ด Windows เป็นวิธีรับรหัสผ่านจาก Lastpass ไปยังแอปพลิเคชันเดสก์ท็อป

ฉันสงสัยว่าสิ่งนี้มีความปลอดภัยเพียงใด? โปรแกรมไม่สามารถเข้าถึงคลิปบอร์ดได้ตลอดเวลาหรือไม่?

windows security clipboard

ฉันจำได้ว่าการเข้าถึงคลิปบอร์ดเปิดใช้งานโดยค่าเริ่มต้นใน IE (เวอร์ชันเก่า) บางเวอร์ชัน (อาจเป็น IE6) ฉันพบลิงค์นี้ที่ MS ใส่หน้าต่างคำเตือนทุกครั้งที่เว็บไซต์พยายามเข้าถึงคลิปบอร์ดของคุณ แต่ดูเหมือนว่ามันไม่เคยมีมาก่อน ดังนั้นหากคุณใช้ IE <= 6 (คุณทำไม่ถูกต้อง) คุณอาจมีความเสี่ยงเป็นพิเศษ

— Carlos Campderrós

การเรียกใช้คลิปบอร์ดบน VMWare Player ที่ใช้ร่วมกันแบบเก่าในการตั้งค่าสำนักงานแสดงให้เห็นถึงสิ่งที่น่าสนใจมากมายเกี่ยวกับเพื่อนร่วมงานของคุณ ฉันต้องระวังเสมอเมื่อตอบสนองคนที่ทำงานเก่าของฉันเพราะมีโอกาสที่ดีถ้าฉันตัดและวางมันจะจบลงในคลิปบอร์ดของเจ้านาย

— Peter Turner

@ CarlosCampderrósฉันคิดว่าแฟลชยังอนุญาตให้ทำได้

— CodesInChaos

KeePass มีตัวเลือกในการตั้งค่า "หน่วยความจำ": "พฤติกรรมของคลิปบอร์ด: ปรับปรุง: อนุญาตให้วางหนึ่งครั้งและป้องกันสายลับคลิปบอร์ด"

— DBedrenko

superuser.com/questions/412083/…

— สุ่ม

คำตอบ:

มันไม่ปลอดภัย

ดูคำถามและคำตอบนี้ได้ที่Security.stackechange.com ที่ยกมาด้านล่าง:

คลิปบอร์ด Windows ไม่ปลอดภัย

นี่คือคำพูดจากที่บทความ MSDN

คลิปบอร์ดสามารถใช้เพื่อจัดเก็บข้อมูลเช่นข้อความและรูปภาพ เนื่องจากคลิปบอร์ดแชร์โดยกระบวนการที่ใช้งานอยู่ทั้งหมดจึงสามารถใช้เพื่อถ่ายโอนข้อมูลระหว่างกันได้

นี่น่าจะเหมาะกับเครื่อง Linux เช่นกัน

นี่เป็นปัญหาหรือไม่? ไม่สำหรับบางคนที่ใช้ประโยชน์จากสิ่งนี้เขาจะต้องมีมัลแวร์ในเครื่องของคุณที่สามารถอ่านข้อมูลจากคลิปบอร์ด หากเขามีความสามารถในการรับมัลแวร์ในเครื่องของคุณคุณมีสิ่งที่ใหญ่กว่ามากที่ต้องกังวลเนื่องจากมีสิ่งอื่น ๆ อีกมากมายที่เขาสามารถทำได้รวมถึง keyloggers และอื่น ๆ

— Keltari
แหล่งที่มา

ในขณะที่การอ่านข้อมูลในคลิปบอร์ดนั้นเป็นเรื่องเล็กน้อยตามที่ Keltari อธิบายความจริงที่ว่าคุณมีซอฟต์แวร์ที่เป็นอันตรายที่อ่านคลิปบอร์ดของคุณตั้งแต่แรกนั้นเป็นเรื่องที่คุณต้องกังวลมากขึ้น นี่คือเหตุผลที่การคัดลอกและวางรหัสผ่านของคุณลงในช่องรหัสผ่านไม่มีผลต่อการรักษารหัสผ่านของคุณให้ปลอดภัยความสามารถในการทำเช่นนั้นคือความน่าเชื่อถือเนื่องจากไม่ได้พิมพ์รหัสผ่านแบบสุ่มที่ปลอดภัย 20-30 อักขระ

— Ramhound

แน่นอนว่าเกณฑ์ที่ต่ำกว่ามากสำหรับมัลแวร์ที่อ่านคลิปบอร์ด (ส่วน "จาวาสคริปต์" ที่ถูกกฎหมายทั้งหมดฝังอยู่ในหน้าเว็บ) จะทำเมื่อเทียบกับมัลแวร์ที่ใช้ประโยชน์จากกระบวนการของเบราว์เซอร์หรืออ่านหน่วยความจำของกระบวนการอื่น ๆ ปุ่มกด ฯลฯ

— เดมอน

@Damon จากสิ่งที่ฉันเข้าใจ JS ไม่มีสิทธิ์เข้าถึงคลิปบอร์ดแบบสุ่มด้วยเหตุผลนี้

— พันเอกสามสิบสอง

@Damon ตาม MDNแอปจำเป็นต้องได้รับอนุญาตให้ใช้คำสั่ง paste ดังนั้นหน้าสุ่มไม่สามารถดมกลิ่นคลิปบอร์ดของคุณโดยใช้

— พันเอกสามสิบสอง

@zzzzBov - และสิ่งที่จะหยุดใครบางคนจากการเพิ่มปุ่มใน Javascript ชื่อ "เงินฟรี - คลิกที่นี่!" แต่จริง ๆ แล้วปุ่มคัดลอกคลิปบอร์ดของคุณแทนที่จะให้เงินฟรี?

— Yay295

โปรดจำไว้ว่าไม่ใช่เฉพาะแอปพลิเคชันที่อาจเข้าถึงคลิปบอร์ดและไม่ใช่เฉพาะมัลแวร์ที่อาจต้องการรับ

นอกจากนี้ยังมีผู้ใช้ที่อาจตั้งใจหรือตั้งใจเปิดเผยเนื้อหาของคลิปบอร์ดหลังจากได้รับการเข้าถึงทางกายภาพไปยังคอมพิวเตอร์ แน่นอนว่าพวกเขาสามารถทำอันตรายได้มากมาย แต่การได้รับรหัสผ่านจริง (และไม่ใช่แค่การเข้าถึงเว็บไซต์ / โปรแกรม) นั้นเป็นเรื่องยาก (เว้นแต่คุณมีไว้ในคลิปบอร์ด ... )

ดังนั้นตรวจสอบให้แน่ใจว่าคลิปบอร์ดนั้นสะอาด (และไม่น่าเชื่อถือ 100% เนื่องจากบางแอปพลิเคชันอนุญาตให้เรียกคืนค่าคลิปบอร์ดเก่าอีกครั้ง) หรือใช้การเข้ารหัสบางอย่าง (นี่ไม่ใช่เรื่องเล็กน้อย

— Mikus
แหล่งที่มา

การเข้ารหัสจะไม่ช่วยสิ่งนี้ การโจมตีไม่ได้อยู่ในหน่วยความจำที่มีการจัดเก็บคลิปบอร์ด (หรือประวัติคลิปบอร์ด) การโจมตีกำลังดึงเนื้อหาของคลิปบอร์ดโดยใช้ API คลิปบอร์ดมาตรฐาน (ไม่ว่าจะเป็นโปรแกรมที่กำลังเรียกใช้อ่านหรือผู้ใช้รายอื่นเข้าถึงและเริ่มวาง) .

— Peter Cordes

ไม่ใช่ Peter แน่นอนเราไม่รู้จักสถาปัตยกรรมของโซลูชันดั้งเดิม แต่ถ้าแอปพลิเคชันของคุณใส่เนื้อหาลงในคลิปบอร์ดเป็นครั้งแรกจากนั้นดึงข้อมูลมามันสามารถแก้ไขข้อมูลในแบบที่เข้าใจได้เท่านั้น ดังนั้นเมื่อใครบางคนหรือแม้กระทั่งคุณที่มีคนกำลังมองหาเปิดเผยเนื้อหาโดยไม่ตั้งใจก็ยังไม่ชัดเจนว่ามีอะไรอยู่ข้างในและวิธีการใช้งาน วิธีใดก็ตามที่เปิดเผยรหัสผ่านแบบข้อความล้วนคือสิ่งที่ฉันคิดว่าเป็นความปลอดภัยสูงสุด ฉันจะไม่พิจารณาคัดลอกมันไปยังคลิปบอร์ดหรือไฟล์ข้อความอย่างจริงใจเลย มีวิธีที่ดีกว่าของการสื่อสารระหว่างปพลิเคชันที่มี :)

— Mikus

@ Mikus ในขณะที่เป็นจริงนี่ไม่ใช่วิธีการทำงานของคลิปบอร์ด คลิปบอร์ดนั้นมีประโยชน์จริงๆในการแบ่งปันเนื้อหาจากแอปหนึ่งไปยังอีกแอปหนึ่ง แอพเดี่ยวอาจเก็บเนื้อหาที่เข้ารหัสไว้ในหน่วยความจำเพื่อดึงในภายหลังและหลีกเลี่ยงคลิปบอร์ดทั้งหมด

— trlkly

แน่นอนฉันไม่เคยพูดอย่างอื่น แต่ตราบใดที่ฉันไม่คิดว่าแอปพลิเคชันเชิงพาณิชย์อย่าง LastPass จะทิ้งอะไรไว้ในคลิปบอร์ดฉันเดาว่าผู้เขียนสามารถควบคุมแอปพลิเคชันทั้งสองได้ จากนั้นเขาสามารถเลือกการเข้ารหัสหรือการเข้ารหัสใดก็ได้ที่เขาต้องการใช่ไหม และวิธีการสื่อสารอื่น ๆ เช่นกัน :) หากผ่านการบันทึกรหัสผ่านข้อความธรรมดาในคลิปบอร์ดแล้วแอปพลิเคชันที่ไม่เหมาะสมที่จะใช้ IMO

— mikus

ตามที่ทุกคนเห็นพ้องคลิปบอร์ดนั้นไม่ปลอดภัยโดยทั่วไป ดังนั้นคำถามการติดตามจึงชัดเจน: วิธีการรับรหัสผ่าน / วลีรหัสผ่านที่ซับซ้อนจากตัวจัดการรหัสผ่านไปยังที่ที่ต้องการโดยไม่ต้องเปิดเผยพวกเขาไปพร้อมกัน

มองหาเครื่องมือจัดการรหัสผ่านที่มีตัวเลือก "พิมพ์รหัสผ่านของคุณลงในหน้าต่างถัดไปที่คุณคลิก" หรือที่คล้ายกัน ฉันไม่รู้ตัวอย่างเพราะฉันไม่ใช่คนหวาดระแวงเกี่ยวกับรหัสผ่านส่วนใหญ่ (และฉันจำรหัสผ่านที่มีความปลอดภัยสูงได้น้อยมากเช่นรหัสส่วนตัว GPG ของฉัน)

วิกิชุมชน: แก้ไขในชื่อโปรแกรมที่มีคุณสมบัตินี้:

KeePassX

KeepassX เวอร์ชั่น 0.4.3 ของฉันให้บริการการล้างคลิปบอร์ดหลังจาก X วินาที (ค่าเริ่มต้นคือ 20 แต่ 8 ดีกว่า)

— Peter Cordes
แหล่งที่มา