Windows資格情報マネージャーはどの程度安全ですか？

Windows資格情報マネージャーは安全ではありません。これはユーザーアカウントレベルで「安全」です。つまり、ユーザーがこれまでに実行したすべてのプロセスとユーザー自身は、このシステムをまっすぐな面で「安全」と呼ぶために、必ず信頼されている必要があります。

Windows資格情報マネージャーを使用する唯一の半安全な方法は、事前にハッシュされた値を保存してから、それらのハッシュを確認することです。ただし、ユーザーが実行する昇格したプロセスには、そのユーザーの資格情報ストアに対する完全な読み取り/書き込み機能があるため、まったく信頼できません。

アプリケーションをローカルでロックするという意味で「安全」について考えてみましょう。 Credential Managerを使用してカスタム認証情報を保存し、子供がアダルトコンテンツを有効にできないように設定ページをロックするコンテンツフィルターの例を見てみましょう。同じユーザーがこれを回避しようとすると、簡単に回避できます。ユーザーはコントロールパネルの資格情報マネージャーにアクセスできます。値はアスタリスク（*****）で表示されますが、単に値を消去して置き換えることができます。あなたのハッシュを削除し、それらが入っている自分のものを入れてください。

さらにおかしいのは、コントロールパネルにアスタリスクが表示されることですが、該当するAPIにアクセスするコードを使用すると、値をプレーンテキストで取得できます。したがって、パスワードは安全ではありません。ハッシュなどを確認すると、何かをロックすることは安全ではありません。安全ではなく、それはごみの一部であり、MicrosoftがNSAに販売できるすべてのパスワードのプレーンテキストのコピーを持っているように見えることを除いて、その有用性を理解するために長い間奮闘してきました。

注
コンテンツを保存する前にコンテンツを暗号化し、正しくハッシュするなどの対策があることを理解していますが、これらのことを行うと、私の批判が当てはまります追加ことにより、Windows資格情報ではなくセキュリティが作成されますマネージャー。 Windows資格情報マネージャーの私の問題は、提供されているGUIやAPIを介した使用が安全であることを宣伝していることです。