Pregunta ¿Qué tan seguro es el portapapeles de Windows?


He estado usando el portapapeles de Windows como un método para obtener contraseñas de Lastpass en aplicaciones de escritorio.

Me he estado preguntando exactamente qué tan seguro es esto? ¿No puede ningún programa acceder al portapapeles en cualquier momento?


48


origen


Recuerdo que el acceso al portapapeles estaba habilitado por defecto en algunas versiones (viejas) de IE (probablemente IE6). he encontrado este enlace donde MS puso una ventana de advertencia cada vez que un sitio web intentó acceder a su portapapeles, pero parece que no estaba allí antes. Entonces, si usa IE <= 6 (no lo hace, ¿verdad?), Puede correr un riesgo adicional. - Carlos Campderrós
Ejecutar el portapapeles en un antiguo reproductor VMWare compartido en un entorno de oficina revela muchas cosas interesantes sobre sus compañeros de trabajo. Siempre tuve que tener cuidado al responder a las personas en mi antiguo trabajo porque había una buena posibilidad de que si cortaba y pegaba, terminara en el portapapeles del jefe. - Peter Turner
@ CarlosCampderrós Creo que flash todavía lo permite. - CodesInChaos
KeePass tiene una opción en la configuración de "Memoria": "Comportamiento CLipboard: Mejorado: permite pegar una vez y proteger contra los espías del portapapeles" - DBedrenko
superuser.com/questions/412083/... - random♦


Respuestas:


No es seguro.

Vea esta pregunta y respuesta en Security.stackechange.com, citado a continuación:

El portapapeles de Windows es no seguro.

Esta es una cita de un Artículo de MSDN.

El Portapapeles se puede usar para almacenar datos, como texto e imágenes. Debido a que el Portapapeles es compartido por todos los procesos activos, puede ser     utilizado para transferir datos entre ellos.

Esto probablemente debería aplicarse a máquinas Linux también.

¿Esto es una preocupación? No. Para que alguien explote esto, tendría que   tener malware en su máquina capaz de leer datos de la   portapapeles. Si él tiene la capacidad de obtener malware en su   máquina, tienes mucho cosas más grandes de las que preocuparse ya que hay   muchas otras cosas que puede hacer, incluyendo keyloggers y similares.


59



Si bien es trivial leer los datos en el portapapeles, como explica Keltari, el hecho de que tenga software malicioso leyendo su portapapeles en primer lugar es su mayor preocupación. Esta es la razón por la cual copiar y pegar su contraseña en un campo de contraseña no tiene ningún efecto en mantener su contraseña segura, la capacidad de hacerlo es convincente. No escriba una contraseña aleatoria segura de 20-30 caracteres. - Ramhound
Por supuesto, el umbral es mucho más bajo para el malware que lee el portapapeles (una pieza de JavaScript totalmente "legal" incrustada en una página web) contra malware que explota el proceso del navegador o lee la memoria de otro proceso, o instala un gancho para capturar pulsaciones de teclas, etc. - Damon
@Damon Por lo que entiendo, JS no tiene acceso aleatorio al portapapeles precisamente por esta razón. - Colonel Thirty Two
@Damon De acuerdo con MDN, la aplicación necesita tener permiso para usar el comando pegar, por lo que las páginas aleatorias no pueden oler su portapapeles con eso. - Colonel Thirty Two
@zzzzBov - ¿Y qué impediría que alguien agregue un botón en Javascript titulado "Dinero gratis - ¡Haga clic aquí!", ¿pero el botón realmente copia su portapapeles en lugar de darle dinero gratis? - Yay295


Solo tenga en cuenta que no solo las aplicaciones pueden tener acceso al portapapeles y no es solo el malware el que realmente podría querer obtenerlo.

También hay usuarios que pueden revelar accidentalmente o a propósito el contenido del portapapeles después de obtener acceso físico a la computadora. Por supuesto, entonces pueden hacer mucho daño de todos modos, pero obtener la contraseña real (y no solo el acceso a sitios web / programas) es difícil (a menos que la tengas en el portapapeles ...)

Por lo tanto, asegúrese de limpiar el portapapeles (y esto no es 100% confiable ya que algunas aplicaciones nuevamente permiten recuperar viejos valores del portapapeles) o use algún tipo de encriptación (esto no es trivial, pero incluso uno fácil protegerá de una fuga accidental de contraseñas)


6



La encriptación no va a ayudar con esto. El ataque no está en contra de la memoria en la que está almacenado el portapapeles (o el historial del portapapeles). El ataque recupera los contenidos del portapapeles utilizando la API estándar del portapapeles (ya sea un programa en ejecución leyéndolo u otro usuario obteniendo acceso temporal e iniciando un engrudo) . - Peter Cordes
No exactamente Peter, no conocemos la arquitectura de la solución original, pero si su aplicación al principio pone el contenido en el portapapeles y luego lo recupera, puede modificar los datos de una manera que solo sea comprensible para sí mismo. Entonces, cuando alguien o incluso usted con alguien que mira accidentalmente revela el contenido, aún no es obvio qué hay dentro y cómo usarlo. Cualquier forma de revelar una contraseña de texto sin formato es, en mi opinión, la mayor brecha de seguridad posible. Sinceramente, nunca consideraría copiarlo al portapapeles o archivo de texto, etx. Hay mejores formas de comunicación entre aplicaciones :) - mikus
@mikus, aunque es cierto, esta no es la forma en que funciona el portapapeles. El portapapeles realmente solo es útil para compartir contenido de una aplicación a otra. Una sola aplicación también puede almacenar los contenidos encriptados en la memoria para su posterior recuperación y evitar el portapapeles por completo. - trlkly
De hecho, nunca he dicho lo contrario, pero siempre que no crea que ninguna aplicación comercial como LastPass deje nada en el portapapeles, creo que el autor tiene el control de ambas aplicaciones. Luego puede elegir la codificación o el cifrado que quiera, ¿verdad? y otros métodos de comunicación también :) Si es la última vez que se guardan las contraseñas de texto plano en el portapapeles, entonces su aplicación no es la correcta para usar IMO. - mikus


Como todos están de acuerdo, el portapapeles generalmente es inseguro. Por lo tanto, la pregunta de seguimiento es obvia: cómo obtener contraseñas / frases clave complejas desde un administrador de contraseñas hasta donde se necesitan, sin exponerlas en el camino.

Busque un administrador de contraseñas que tenga la opción de "escribir su contraseña en la siguiente ventana en la que haga clic" o similar. No conozco ningún ejemplo, porque no soy tan paranoico con la mayoría de las contraseñas. (Y realmente memorizo ​​las pocas contraseñas de alta seguridad que uso, como mi clave privada GPG).

Wiki de la comunidad: edite los nombres de los programas que tienen esta característica:

  • KeePassX

Mi versión de KeepassX, 0.4.3, ofrece borrar el portapapeles después de X segundos (por defecto es 20 pero 8 está bien)


2