Un gestore di password (come KeePass) ti offre la possibilità di copiare e incollare la tua password (gli appunti vengono cancellati dopo aver incollato / timeout) o di emulare una tastiera e di "digitare" la password per l'utente.
Quali sono i casi in cui un metodo è migliore dell'altro? Ci sono esempi di modelli di minacce in cui utilizzare uno di questi metodi dovrebbe essere preferito?
Senza definire un modello di minaccia, è difficile confrontare l'efficacia. Chiaramente, entrambi falliscono di fronte al malware in esecuzione sul computer locale. (È possibile leggere gli eventi della tastiera o gli appunti dal malware.)
Con Flash, è possibile leggere il contenuto degli appunti, quindi c'è una piccola opportunità in cui le password potrebbero essere trapelate. (Anche se JavaScript ha accesso agli Appunti, non può leggere il contenuto senza che l'utente selezioni Incolla.)
Alla fine della giornata, nessuno dei due approcci è probabile che sia il fattore "make-or-break" nella sicurezza di un gestore di password.
Questo è, ovviamente, basato sull'opinione pubblica, perché non sono uno sviluppatore di KeePass, ma la mia convinzione è che l'unica ragione per cui esiste l'altro metodo per inserire una password (es. emulazione tastiera) non ha nulla a che fare con la minaccia modelli.
Lo scopo principale dell'emulazione della tastiera è molto probabilmente quello di superare quelle politiche obsolete (o, in alcuni casi, indecenti) che impediscono l'inserimento della password (in diretta violazione di Linee guida NIST sulle password ). Ecco un esempio .
Se la tua banca e cetera accetta password dagli appunti, usala, non preoccuparti.
Una cosa da considerare: ci sono molti motivi legittimi per un'applicazione per richiedere l'accesso agli appunti, ma molti meno motivi legittimi per intercettare tutti gli input da tastiera. Quindi suppongo che sia più facile introdurre uno sniffer di appunti oltre le scansioni di malware ... anche javascript può accedere agli appunti a volte (almeno dopo aver richiesto all'utente l'autorizzazione).
Leggi altre domande sui tag passwords password-management clipboard keyloggers