Archiviazione password in 1 password e altre applicazioni simili per la memorizzazione di password

Naviga le tue risposte
1

La mia comprensione della memoria in un computer è che è memorizzata in blocchi che sono sovrascritti solo quando il computer lo trova conveniente. quindi se un programma chiede di scrivere in un certo blocco piuttosto che cancellare quel blocco, che richiede tempo, il computer ridefinirà semplicemente dove quel blocco è così che possa usare un blocco vuoto e si preoccupi di cancellare altri blocchi. Questo va bene ma con la memorizzazione delle password questo significa (se ho capito bene) che anche se una password può essere memorizzata in forma crittografata, una forma non crittografata della password giace da qualche parte nella parte "non chiara" della mia memoria del computer.

Per favore, spiegami perché questo non è il caso o perché questo non è un problema di sicurezza. Grazie per l'aiuto.

    
posta mathew 11.06.2016 - 23:12
fonte

2 risposte

1

In questo caso, il programma memorizzerà solo la password in testo semplice nella RAM (Random Access Memory). Da questo, quindi lo crittograferà, di solito con AES, e lo scriverà nella memoria permanente.

La memoria RAM non è permanente, non appena la potenza del computer si spegne, l'intera RAM viene cancellata. Significa che anche se non è stato scritto non appena l'alimentazione è fuori, è completamente sparita.

Si può anche presumere che il programma intraprenderà dei passi per scrivere sull'indirizzo RAM con dati nulli. Ma questo potrebbe non essere il caso.

    
risposta data 12.06.2016 - 10:07
fonte
1

La RAM, se conservata in "blocchi" a scopo di memoria virtuale, è in realtà solo un'area di memorizzazione caotica di bit di dati casuali per le applicazioni. In effetti, i dati in memoria possono essere spostati in più punti senza che il programma ne sia a conoscenza. Ad esempio, potrebbe finire per spostarsi su un altro banco, o archiviato sul disco rigido o su un'unità flash, o (a partire da Windows 10) anche essere compresso per risparmiare spazio nella RAM per i programmi attivi.

Idealmente, un gestore di password dovrebbe archiviare le password in memoria nello stesso formato in cui sono su disco, crittografate e decodificarle solo per il tempo necessario a compilare la casella relativa al modulo o alla password, quindi azzerare quella memoria. Non sono sicuro che i gestori di memoria siano paranoici, se ce ne sono, ma è certamente possibile ridurre al minimo il rischio associato all'accesso logico all'intera memoria del computer (sebbene, a quel punto, probabilmente ci siano problemi più grandi di una perdita di password ).

    
risposta data 12.06.2016 - 11:07
fonte

Leggi altre domande sui tag

Se conosco solo parte di una password e parte dell'hash è possibile ottenere la password completa? Come mantenere la validità delle credenziali dell'utente?