49

Я использовал буфер обмена Windows как метод получения паролей от Lastpass в настольных приложениях.

Мне было интересно, насколько это безопасно? Не может ли какая-либо программа получить доступ к буферу обмена в любое время?

3 ответа3

59

Это не безопасно.

Посмотрите этот вопрос и ответ на Security.stackechange.com, указанном ниже:

Буфер обмена Windows не является безопасным.

Это цитата из статьи MSDN.

Буфер обмена может использоваться для хранения данных, таких как текст и изображения. Поскольку буфер обмена используется всеми активными процессами, его можно использовать для передачи данных между ними.

Это, вероятно, должно относиться и к машинам с Linux.

Это проблема? Нет. Чтобы кто-то воспользовался этим, ему на вашем компьютере должно быть установлено вредоносное ПО, способное считывать данные из буфера обмена. Если у него есть возможность получать вредоносные программы на вашем компьютере, вам придется беспокоиться о гораздо больших вещах, поскольку он может делать множество других вещей, включая клавиатурные шпионы и тому подобное.

6

Просто имейте в виду, что доступ к буферу обмена могут иметь не только приложения, но и не только вредоносные программы.

Есть также пользователи, которые могут случайно или преднамеренно раскрыть содержимое буфера обмена после получения физического доступа к компьютеру. Конечно, тогда они могут причинить много вреда, но получить реальный пароль (а не только доступ к веб-сайтам / программам) сложно (если у вас его нет в буфере обмена ...)

Так что либо убедитесь, что буфер обмена очищен (и это не на 100% надежно, поскольку некоторые приложения снова позволяют получать старые значения буфера обмена), либо используйте какое-то шифрование (это не тривиально, но даже простое защитит от случайной утечки пароля)

2

Как все согласны, буфер обмена обычно небезопасен. Таким образом, последующий вопрос очевиден: как получить сложные пароли / парольные фразы из менеджера паролей туда, где они нужны, не раскрывая их по пути.

Найдите менеджер паролей, в котором есть опция «введите свой пароль в следующем окне, на которое вы щелкнете» или что-то подобное. Я не знаю ни одного примера, потому что я не настолько параноидален в отношении большинства паролей. (И я на самом деле запоминаю очень мало паролей с высоким уровнем безопасности, которые я использую, например, мой закрытый ключ GPG.)

Сообщество вики: редактируйте названия программ, которые имеют эту функцию:

  • KeePassX

Моя версия KeepassX, 0.4.3, предлагает очистить буфер обмена через X секунд (по умолчанию 20, но 8 в порядке)

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .