Windows Credential Manager è tutt'altro che sicuro. È "sicuro" a livello di account utente, il che significa che qualsiasi processo che l'utente esegue e l'utente stesso deve necessariamente essere considerato attendibile per chiamare questo sistema "sicuro" con una faccia seria.
L'unico modo semi sicuro di utilizzare Windows Credential Manager è quello di memorizzare i valori pre-hash, quindi verificare tali hash. Tuttavia, poiché qualsiasi processo elevato che l'utente esegue ha piena capacità di lettura / scrittura sull'archivio credenziali dell'utente, semplicemente non può essere considerato attendibile.
Pensiamo a "sicuro" nel senso di bloccare un'applicazione localmente. Prendiamo l'esempio di un filtro del contenuto che blocca la pagina delle impostazioni per impedire ai ragazzi di abilitare i contenuti per adulti, utilizzando Credential Manager per memorizzare le credenziali personalizzate. Lo stesso utente, cercando di aggirare questo, può farlo facilmente. Un utente può visitare Credential Manager nel Pannello di controllo e, sebbene i valori compaiano in asterischi, (*****), possono semplicemente cancellare il valore e sostituirlo. Elimina il tuo hash, inserisci i loro in cui sono.
Ciò che è ancora più sciocco è che il pannello di controllo mostra asterischi, ma se si utilizza il codice che accede alle API applicabili, è possibile ottenere i valori in testo normale. Quindi le password non sono sicure, gli hash e quelli che verifichi per bloccare qualcosa non sono sicuri. Non è sicuro, è un pezzo di spazzatura e ho lottato a lungo per comprenderne l'utilità, tranne che per Microsoft apparentemente avere copie di testo in chiaro di tutte le password che possono vendere alla NSA.
Nota
Mi rendo conto che esistono misure che puoi prendere per crittografare i contenuti prima di archiviarli, eseguirne l'hashing correttamente, ecc., Ma le mie critiche si applicano ancora perché fare queste cose aggiuntive sta creando sicurezza, non Windows Credential Manager. Il mio problema con Windows Credential Manager è che annuncia che l'utilizzo tramite la sua GUI fornita o API è sicuro.