Quão segura é a área de transferência do Windows?

49

Eu tenho usado a área de transferência do Windows como um método de obter senhas do Lastpass em aplicativos de desktop.

Fiquei me perguntando exatamente o quão seguro é isso? Nenhum programa pode acessar a área de transferência a qualquer momento?

windows  security  clipboard 
kiri
fonte
1
Lembro que o acesso à área de transferência foi ativado por padrão em algumas versões (antigas) do IE (provavelmente IE6). Encontrei este link em que a MS colocava uma janela de aviso sempre que um site tentava acessar sua área de transferência, mas parece que não estava lá antes. Portanto, se você usa o IE <= 6 (não usa, certo?), Pode estar em risco extra.
Carlos Campderrós
3
A execução da área de transferência em um VMWare Player compartilhado antigo em um ambiente de escritório revela muitas coisas interessantes sobre seus colegas de trabalho. Eu sempre tive que ter cuidado ao responder às pessoas no meu antigo emprego, porque havia uma boa chance de eu cortar e colar que acabaria na área de transferência do chefe.
Peter Turner
1
@ CarlosCampderrós Acho que o flash ainda permite isso.
CodesInChaos
2
KeePass tem uma opção nas configurações de "Memória": "O comportamento da área de transferência: Avançado: permite colar uma vez e proteger contra espiões da área de transferência"
DBedrenko
random

Respostas:

59

Não é seguro.

Consulte esta pergunta e resposta em Security.stackechange.com , citada abaixo:

A área de transferência do Windows não é segura.

Esta é uma citação de um artigo do MSDN .

A área de transferência pode ser usada para armazenar dados, como texto e imagens. Como a área de transferência é compartilhada por todos os processos ativos, ela pode ser usada para transferir dados entre eles.

Isso provavelmente deve se aplicar também às máquinas Linux.

Isso é uma preocupação? Não. Para alguém explorar isso, ele precisaria ter um malware na sua máquina capaz de ler dados da área de transferência. Se ele tem a capacidade de obter malware em sua máquina, você tem coisas muito maiores com que se preocupar, pois existem muitas outras coisas que ele pode fazer, incluindo keyloggers e similares.

Keltari
fonte
4
Embora seja trivial ler os dados na área de transferência, como Keltari explica, o fato de você ter um software malicioso lendo sua área de transferência é a sua maior preocupação. Esse é o motivo pelo qual copiar e colar sua senha em um campo de senha não afeta a segurança da senha, a capacidade de fazê-lo é a convicção. De não digitar uma senha aleatória segura com 20 a 30 caracteres.
Ramhound
2
É claro que o limite é muito mais baixo para malware que lê a área de transferência (um trecho de javascript totalmente "legal" incorporado em uma página da Web o fará) versus malware que explora o processo do navegador ou lê a memória de outro processo ou instala um gancho para capturar keypresses, etc.
Damon
24
@ Damon Pelo que entendi, JS não tem acesso aleatório à área de transferência exatamente por esse motivo.
Coronel Trinta e Dois
3
@ Damon De acordo com o MDN , o aplicativo precisa ter permissão para usar o comando colar, para que páginas aleatórias não possam cheirar sua área de transferência usando isso.
Coronel Trinta e Dois
2
@zzzzBov - E o que impediria alguém de adicionar um botão em Javascript intitulado "Dinheiro grátis - Clique aqui!", mas o botão realmente copia sua área de transferência em vez de lhe dar dinheiro de graça?
precisa saber é o seguinte
6

Lembre-se de que não são apenas os aplicativos que podem ter acesso à área de transferência e não são apenas os malware que realmente desejam obtê-lo.

Também existem usuários que podem revelar acidentalmente ou de propósito o conteúdo da área de transferência após obter acesso físico ao computador. Obviamente, eles podem causar muitos danos, mas obter a senha real (e não apenas o acesso a sites / programas) é difícil (a menos que você a tenha na área de transferência ...)

Portanto, verifique se a área de transferência está limpa (e isso não é 100% confiável, pois alguns aplicativos novamente permitem recuperar valores antigos da área de transferência) ou use algum tipo de criptografia (isso não é trivial, mas o mais fácil é proteger contra vazamentos acidentais de senha)

mikus
fonte
1
A criptografia não vai ajudar nisso. O ataque não é contra a memória na qual a área de transferência (ou histórico da área de transferência) está armazenada. O ataque está recuperando o conteúdo da área de transferência usando a API padrão da área de transferência (um programa em execução, ou outro usuário que obtém acesso temporário e inicia uma colagem) .
Peter Cordes
1
Não exatamente Peter, não conhecemos a arquitetura da solução original, mas se seu aplicativo primeiro colocar o conteúdo na área de transferência e depois recuperá-lo, ele poderá modificar os dados de uma maneira que seja compreensível para si mesmo. Portanto, quando alguém ou até você, com alguém olhando acidentalmente, revela o conteúdo, ainda não é óbvio o que estava dentro e como usá-lo. De qualquer maneira, revelar uma senha em texto sem formatação é a maior violação de segurança possível. Eu sinceramente nunca consideraria copiá-lo para a área de transferência ou arquivo de texto, etx. Existem melhores formas de comunicação entre aplicativos :)
mikus
3
@ Mikus, enquanto verdadeiro, geralmente não é assim que a área de transferência funciona. A área de transferência é realmente útil apenas para compartilhar conteúdo de um aplicativo para outro. Um único aplicativo pode apenas armazenar o conteúdo criptografado na memória para recuperação posterior e evitar a área de transferência.
trlkly
Na verdade, nunca disse o contrário, mas desde que eu ache que nenhum aplicativo comercial como o LastPass deixe algo na área de transferência, acho que o autor tem controle sobre os dois aplicativos. Então ele pode escolher a codificação ou criptografia que quiser, certo? e outros métodos de comunicação também :) Se o seu último passe salvar senhas de texto sem formatação na área de transferência, é apenas o aplicativo não certo para usar o IMO.
Mikus
2

Como todos concordam, a área de transferência é geralmente insegura. Portanto, a pergunta a seguir é óbvia: como obter senhas / frases complexas de um gerenciador de senhas para onde elas são necessárias, sem expô-las ao longo do caminho.

Procure um gerenciador de senhas que tenha a opção de "digitar sua senha na próxima janela em que você clicar" ou similar. Não conheço nenhum exemplo, porque não sou tão paranóico com a maioria das senhas. (Na verdade, memorizo ​​as poucas senhas de alta segurança que uso, como minha chave privada GPG.)

Wiki da comunidade: edite nos nomes dos programas que possuem esse recurso:

  • KeePassX

Minha versão do KeepassX, 0.4.3, oferece a limpeza da área de transferência após X segundos (o padrão é 20, mas 8 está bom)

Peter Cordes
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.