web-dev-qa-db-ja.com

Windows資格情報マネージャーはどの程度安全ですか?

私はLastpassユーザーで、自動同期とWindows環境の快適さのために、Credential Managerへの切り替えを何度も考えました。私が心配しているのはその安全性だけです。いったん誰かがあなたのコンピュータへのアクセス権を取得すると、これらの資格情報に簡単にアクセスできると聞きましたが、そうですか?

私はラストパスに固執し、将来的には最終的な改善をチェックする必要がありますか?

12
user106781

Windows資格情報マネージャーは安全ではありません。これはユーザーアカウントレベルで「安全」です。つまり、ユーザーがこれまでに実行したすべてのプロセスとユーザー自身は、このシステムをまっすぐな面で「安全」と呼ぶために、必ず信頼されている必要があります。

Windows資格情報マネージャーを使用する唯一の半安全な方法は、事前にハッシュされた値を保存してから、それらのハッシュを確認することです。ただし、ユーザーが実行する昇格したプロセスには、そのユーザーの資格情報ストアに対する完全な読み取り/書き込み機能があるため、まったく信頼できません。

アプリケーションをローカルでロックするという意味で「安全」について考えてみましょう。 Credential Managerを使用してカスタム認証情報を保存し、子供がアダルトコンテンツを有効にできないように設定ページをロックするコンテンツフィルターの例を見てみましょう。同じユーザーがこれを回避しようとすると、簡単に回避できます。ユーザーはコントロールパネルの資格情報マネージャーにアクセスできます。値はアスタリスク(*****)で表示されますが、単に値を消去して置き換えることができます。あなたのハッシュを削除し、それらが入っている自分のものを入れてください。

さらにおかしいのは、コントロールパネルにアスタリスクが表示されることですが、該当するAPIにアクセスするコードを使用すると、値をプレーンテキストで取得できます。したがって、パスワードは安全ではありません。ハッシュなどを確認すると、何かをロックすることは安全ではありません。安全ではなく、それはごみの一部であり、MicrosoftがNSAに販売できるすべてのパスワードのプレーンテキストのコピーを持っているように見えることを除いて、その有用性を理解するために長い間奮闘してきました。


コンテンツを保存する前にコンテンツを暗号化し、正しくハッシュするなどの対策があることを理解していますが、これらのことを行うと、私の批判が当てはまります追加ことにより、Windows資格情報ではなくセキュリティが作成されますマネージャー。 Windows資格情報マネージャーの私の問題は、提供されているGUIやAPIを介した使用が安全であることを宣伝していることです。

14
user7933

いったん誰かがあなたのコンピュータへのアクセス権を取得すると、これらの資格情報に簡単にアクセスできると聞きましたが、そうですか?

それはそんなに。

資格情報ボールトに保存されているパスワードは、Windowsパスワードで(最終的に)暗号化されます。暗号化された資格情報にアクセスするには、パスワードを知っている必要があります。

  • lastPassパスワードを知っている人は、保存されている暗号化されたパスワードにcanできます
  • 誰かがあなたのWindowsパスワードを知っている場合、彼らは保存された暗号化パスワードにできます

しかし、誰かがあなたのコンピュータにアクセスした場合:

  • 彼らはLastPassのパスワードにアクセスできません(暗号化されているため)
  • 彼らはVaultパスワードにアクセスできません(暗号化されているため)

ボーナスリーディング

データ保護API内の技術詳細 ????

2
Ian Boyd