Modelli di minaccia per password di tastiera e clipboard

2

Un gestore di password (come KeePass) ti offre la possibilità di copiare e incollare la tua password (gli appunti vengono cancellati dopo aver incollato / timeout) o di emulare una tastiera e di "digitare" la password per l'utente.

Quali sono i casi in cui un metodo è migliore dell'altro? Ci sono esempi di modelli di minacce in cui utilizzare uno di questi metodi dovrebbe essere preferito?

    
posta lanterlog 15.01.2018 - 14:24
fonte

3 risposte

3

Senza definire un modello di minaccia, è difficile confrontare l'efficacia. Chiaramente, entrambi falliscono di fronte al malware in esecuzione sul computer locale. (È possibile leggere gli eventi della tastiera o gli appunti dal malware.)

Con Flash, è possibile leggere il contenuto degli appunti, quindi c'è una piccola opportunità in cui le password potrebbero essere trapelate. (Anche se JavaScript ha accesso agli Appunti, non può leggere il contenuto senza che l'utente selezioni Incolla.)

Alla fine della giornata, nessuno dei due approcci è probabile che sia il fattore "make-or-break" nella sicurezza di un gestore di password.

    
risposta data 15.01.2018 - 19:31
fonte
0

Questo è, ovviamente, basato sull'opinione pubblica, perché non sono uno sviluppatore di KeePass, ma la mia convinzione è che l'unica ragione per cui esiste l'altro metodo per inserire una password (es. emulazione tastiera) non ha nulla a che fare con la minaccia modelli.

Lo scopo principale dell'emulazione della tastiera è molto probabilmente quello di superare quelle politiche obsolete (o, in alcuni casi, indecenti) che impediscono l'inserimento della password (in diretta violazione di Linee guida NIST sulle password ). Ecco un esempio .

Se la tua banca e cetera accetta password dagli appunti, usala, non preoccuparti.

    
risposta data 17.01.2018 - 14:20
fonte
0

Una cosa da considerare: ci sono molti motivi legittimi per un'applicazione per richiedere l'accesso agli appunti, ma molti meno motivi legittimi per intercettare tutti gli input da tastiera. Quindi suppongo che sia più facile introdurre uno sniffer di appunti oltre le scansioni di malware ... anche javascript può accedere agli appunti a volte (almeno dopo aver richiesto all'utente l'autorizzazione).

    
risposta data 18.01.2018 - 05:18
fonte

Leggi altre domande sui tag