私はLastpassユーザーで、自動同期とWindows環境の快適さのために、Credential Managerへの切り替えを何度も考えました。私が心配しているのはその安全性だけです。いったん誰かがあなたのコンピュータへのアクセス権を取得すると、これらの資格情報に簡単にアクセスできると聞きましたが、そうですか?
私はラストパスに固執し、将来的には最終的な改善をチェックする必要がありますか?
Windows資格情報マネージャーは安全ではありません。これはユーザーアカウントレベルで「安全」です。つまり、ユーザーがこれまでに実行したすべてのプロセスとユーザー自身は、このシステムをまっすぐな面で「安全」と呼ぶために、必ず信頼されている必要があります。
Windows資格情報マネージャーを使用する唯一の半安全な方法は、事前にハッシュされた値を保存してから、それらのハッシュを確認することです。ただし、ユーザーが実行する昇格したプロセスには、そのユーザーの資格情報ストアに対する完全な読み取り/書き込み機能があるため、まったく信頼できません。
アプリケーションをローカルでロックするという意味で「安全」について考えてみましょう。 Credential Managerを使用してカスタム認証情報を保存し、子供がアダルトコンテンツを有効にできないように設定ページをロックするコンテンツフィルターの例を見てみましょう。同じユーザーがこれを回避しようとすると、簡単に回避できます。ユーザーはコントロールパネルの資格情報マネージャーにアクセスできます。値はアスタリスク(*****)で表示されますが、単に値を消去して置き換えることができます。あなたのハッシュを削除し、それらが入っている自分のものを入れてください。
さらにおかしいのは、コントロールパネルにアスタリスクが表示されることですが、該当するAPIにアクセスするコードを使用すると、値をプレーンテキストで取得できます。したがって、パスワードは安全ではありません。ハッシュなどを確認すると、何かをロックすることは安全ではありません。安全ではなく、それはごみの一部であり、MicrosoftがNSAに販売できるすべてのパスワードのプレーンテキストのコピーを持っているように見えることを除いて、その有用性を理解するために長い間奮闘してきました。
注
コンテンツを保存する前にコンテンツを暗号化し、正しくハッシュするなどの対策があることを理解していますが、これらのことを行うと、私の批判が当てはまります追加ことにより、Windows資格情報ではなくセキュリティが作成されますマネージャー。 Windows資格情報マネージャーの私の問題は、提供されているGUIやAPIを介した使用が安全であることを宣伝していることです。
いったん誰かがあなたのコンピュータへのアクセス権を取得すると、これらの資格情報に簡単にアクセスできると聞きましたが、そうですか?
それはそんなに。
資格情報ボールトに保存されているパスワードは、Windowsパスワードで(最終的に)暗号化されます。暗号化された資格情報にアクセスするには、パスワードを知っている必要があります。
しかし、誰かがあなたのコンピュータにアクセスした場合: