Seberapa amankah clipboard Windows?

49

Saya telah menggunakan clipboard Windows sebagai metode untuk mendapatkan kata sandi dari Lastpass ke aplikasi desktop.

Saya sudah bertanya-tanya seberapa aman ini? Tidak bisakah program mengakses clipboard kapan saja?

kiri
sumber
1
Saya ingat bahwa akses clipboard diaktifkan secara default di beberapa versi (lama) IE (mungkin IE6). Saya telah menemukan tautan ini di mana MS memasang jendela peringatan setiap kali sebuah situs web mencoba mengakses clipboard Anda, tetapi tampaknya itu tidak ada sebelumnya. Jadi jika Anda menggunakan IE <= 6 (Anda tidak, kan?) Anda mungkin beresiko ekstra.
Carlos Campderrós
3
Menjalankan clipboard pada VMWare Player lama yang dibagikan dalam pengaturan kantor mengungkapkan banyak hal menarik tentang rekan kerja Anda. Saya selalu harus berhati-hati ketika menanggapi orang-orang di pekerjaan lama saya karena ada peluang bagus jika saya memotong dan menempelkannya akan berakhir di papan klip bos.
Peter Turner
1
@ CarlosCampderrós saya pikir flash masih memungkinkan itu.
CodesInChaos
2
KeePass memiliki opsi dalam pengaturan "Memory": "Perilaku CLipboard: Enhanced: memungkinkan menempelkan sekali dan melindungi terhadap mata-mata clipboard"
DBedrenko

Jawaban:

59

Itu tidak aman.

Lihat pertanyaan & jawaban ini di Security.stackechange.com , yang dikutip di bawah ini:

Papan klip Windows tidak aman.

Ini adalah kutipan dari artikel MSDN .

Clipboard dapat digunakan untuk menyimpan data, seperti teks dan gambar. Karena Clipboard dibagikan oleh semua proses aktif, dapat digunakan untuk mentransfer data di antara mereka.

Ini mungkin juga berlaku untuk mesin Linux.

Apakah ini masalah? Tidak. Bagi seseorang yang mengeksploitasi ini, ia harus memiliki malware di mesin Anda yang mampu membaca data dari clipboard. Jika ia memiliki kemampuan untuk mendapatkan malware di komputer Anda, Anda memiliki banyak hal yang lebih besar untuk dikhawatirkan karena ada banyak hal lain yang bisa dia lakukan, termasuk keyloggers dan sejenisnya.

Keltari
sumber
4
Meskipun sepele untuk membaca data di clipboard, seperti yang dijelaskan Keltari, fakta bahwa Anda memiliki perangkat lunak berbahaya yang membaca clipboard di tempat pertama adalah perhatian Anda yang lebih besar. Inilah alasan mengapa menyalin dan menempelkan kata sandi Anda ke dalam bidang kata sandi tidak berpengaruh pada menjaga keamanan kata sandi Anda, kemampuan untuk melakukannya, adalah keyakinan. Daripada tidak mengetik kata sandi acak aman 20-30 karakter.
Ramhound
2
Tentu saja ambang batasnya jauh lebih rendah untuk malware yang membaca clipboard (sepotong javascript yang sepenuhnya legal yang tertanam di halaman web akan melakukan) dibandingkan malware yang mengeksploitasi proses browser atau membaca memori proses lain, atau memasang kait untuk menangkap tombol ditekan, dll.
Damon
24
@Damon Dari apa yang saya mengerti, JS tidak memiliki akses acak ke clipboard karena alasan ini.
Kolonel Thirty Two
3
@Damon Menurut MDN , aplikasi harus memiliki izin untuk menggunakan perintah tempel, sehingga halaman acak tidak dapat mengendus clipboard Anda menggunakan itu.
Kolonel Thirty Two
2
@zzzzBov - Dan apa yang akan menghentikan seseorang untuk menambahkan tombol di Javascript berjudul "Uang Gratis - Klik Di Sini!", tetapi tombol tersebut benar-benar menyalin clipboard Anda alih-alih memberi Anda uang gratis?
Yay295
6

Ingatlah bahwa bukan hanya aplikasi yang mungkin memiliki akses ke clipboard dan bukan hanya malware yang sebenarnya mungkin ingin mendapatkannya.

Ada juga pengguna yang secara tidak sengaja atau sengaja mengungkapkan konten clipboard setelah mendapatkan akses fisik ke komputer. Tentu saja, mereka dapat melakukan banyak kerusakan, tetapi mendapatkan kata sandi yang sebenarnya (dan tidak hanya akses ke situs web / program) sulit (kecuali Anda memilikinya di clipboard ...)

Jadi pastikan clipboard dibersihkan (dan ini tidak 100% dapat diandalkan karena beberapa aplikasi lagi memungkinkan untuk mengambil nilai clipboard lama) atau menggunakan beberapa jenis enkripsi (ini tidak sepele, tetapi bahkan mudah seseorang akan melindungi dari kebocoran kata sandi yang tidak disengaja)

mikus
sumber
1
Enkripsi tidak akan membantu untuk ini. Serangan tidak bertentangan dengan memori tempat clipboard (atau riwayat clipboard) disimpan. Serangan mengambil konten clipboard menggunakan API clipboard standar (baik program yang sedang berjalan membacanya, atau pengguna lain yang mendapatkan akses sementara dan memulai tempel) .
Peter Cordes
1
Bukan Peter, kami tidak tahu arsitektur dari solusi asli, tetapi jika aplikasi Anda pada awalnya menaruh konten di clipboard dan kemudian mengambilnya, ia dapat memodifikasi data dengan cara yang hanya dapat dimengerti oleh dirinya sendiri. Jadi ketika seseorang atau bahkan Anda dengan seseorang yang melihat secara tidak sengaja mengungkapkan konten, belum jelas apa yang ada di dalamnya dan bagaimana menggunakannya. Cara apa pun mengungkapkan kata sandi teks biasa menurut saya merupakan pelanggaran keamanan tertinggi yang mungkin terjadi. Jujur saya tidak pernah mempertimbangkan menyalinnya ke clipboard atau file teks, etx. Ada cara komunikasi yang lebih baik antar aplikasi :)
mikus
3
@mikus sementara benar, ini biasanya bukan cara kerja clipboard. Papan klip benar-benar hanya berguna untuk berbagi konten dari satu aplikasi ke aplikasi lainnya. Satu aplikasi mungkin juga hanya menyimpan konten terenkripsi dalam memori untuk pengambilan nanti dan menghindari clipboard sama sekali.
trlkly
Memang, saya tidak pernah mengatakan sebaliknya, tetapi selama saya tidak berpikir aplikasi komersial seperti LastPass meninggalkan apa pun di clipboard, saya kira penulis memiliki kontrol atas kedua aplikasi. Kemudian dia dapat memilih pengkodean atau enkripsi apa pun yang diinginkannya, bukan? dan metode komunikasi lainnya juga :) Jika lastpass menyimpan kata sandi plaintext di clipboard, maka itu bukan aplikasi yang tepat untuk menggunakan IMO.
mikus
2

Karena semua orang setuju, clipboard pada umumnya tidak aman. Jadi, pertanyaan tindak lanjutnya sudah jelas: bagaimana cara mendapatkan kata sandi / frasa sandi yang rumit dari pengelola kata sandi ke tempat yang dibutuhkan, tanpa memaparkannya sepanjang jalan.

Cari pengelola kata sandi yang memiliki opsi untuk "mengetik kata sandi Anda ke jendela berikutnya yang Anda klik" atau serupa. Saya tidak tahu contoh apa pun, karena saya tidak paranoid tentang sebagian besar kata sandi. (Dan saya benar-benar menghafal sangat sedikit kata sandi keamanan tinggi yang saya gunakan, seperti kunci pribadi GPG saya.)

Komunitas wiki: edit dalam nama program yang memiliki fitur ini:

  • KeePassX

Versi saya dari KeepassX, 0.4.3, menawarkan membersihkan clipboard setelah X detik (default ke 20 tetapi 8 baik-baik saja)

Peter Cordes
sumber