Я использовал буфер обмена Windows как метод получения паролей от Lastpass в настольных приложениях.
Мне было интересно, насколько это безопасно? Не может ли какая-либо программа получить доступ к буферу обмена в любое время?
3 ответа
59
Это не безопасно.
Посмотрите этот вопрос и ответ на Security.stackechange.com, указанном ниже:
Буфер обмена Windows не является безопасным.
Это цитата из статьи MSDN.
Буфер обмена может использоваться для хранения данных, таких как текст и изображения. Поскольку буфер обмена используется всеми активными процессами, его можно использовать для передачи данных между ними.
Это, вероятно, должно относиться и к машинам с Linux.
Это проблема? Нет. Чтобы кто-то воспользовался этим, ему на вашем компьютере должно быть установлено вредоносное ПО, способное считывать данные из буфера обмена. Если у него есть возможность получать вредоносные программы на вашем компьютере, вам придется беспокоиться о гораздо больших вещах, поскольку он может делать множество других вещей, включая клавиатурные шпионы и тому подобное.
6
Просто имейте в виду, что доступ к буферу обмена могут иметь не только приложения, но и не только вредоносные программы.
Есть также пользователи, которые могут случайно или преднамеренно раскрыть содержимое буфера обмена после получения физического доступа к компьютеру. Конечно, тогда они могут причинить много вреда, но получить реальный пароль (а не только доступ к веб-сайтам / программам) сложно (если у вас его нет в буфере обмена ...)
Так что либо убедитесь, что буфер обмена очищен (и это не на 100% надежно, поскольку некоторые приложения снова позволяют получать старые значения буфера обмена), либо используйте какое-то шифрование (это не тривиально, но даже простое защитит от случайной утечки пароля)
2
Как все согласны, буфер обмена обычно небезопасен. Таким образом, последующий вопрос очевиден: как получить сложные пароли / парольные фразы из менеджера паролей туда, где они нужны, не раскрывая их по пути.
Найдите менеджер паролей, в котором есть опция «введите свой пароль в следующем окне, на которое вы щелкнете» или что-то подобное. Я не знаю ни одного примера, потому что я не настолько параноидален в отношении большинства паролей. (И я на самом деле запоминаю очень мало паролей с высоким уровнем безопасности, которые я использую, например, мой закрытый ключ GPG.)
Сообщество вики: редактируйте названия программ, которые имеют эту функцию:
- KeePassX
Моя версия KeepassX, 0.4.3, предлагает очистить буфер обмена через X секунд (по умолчанию 20, но 8 в порядке)