Windows 클립 보드는 얼마나 안전합니까?

Lastpass에서 데스크톱 응용 프로그램으로 암호를 가져 오는 방법으로 Windows 클립 보드를 사용하고 있습니다.

이것이 얼마나 안전한지 궁금했습니다. 어떤 프로그램도 언제든지 클립 보드에 액세스 할 수 없습니까?

windows security clipboard

— 키리
소스

IE의 일부 (이전) 버전 (아마도 IE6)에서 클립 보드 액세스가 기본적으로 활성화되었음을 기억합니다. 웹 사이트가 클립 보드에 액세스하려고 할 때마다 MS가 경고 창을 표시하는 이 링크를 찾았 지만 이전에는 없었습니다. 따라서 IE <= 6을 사용하면 (그렇지 않습니까?) 추가 위험에 처할 수 있습니다.

— Carlos Campderrós

사무실 환경에서 오래된 공유 VMWare 플레이어에서 클립 보드를 실행하면 동료에 대한 흥미로운 점이 많이 나타납니다. 잘라서 붙여 넣을 때 보스의 클립 보드에 표시 될 가능성이 높기 때문에 예전 직장에서 사람들에게 응답 할 때는 항상주의를 기울여야했습니다.

— 피터 터너

@ CarlosCampderrós 플래시가 여전히 가능하다고 생각합니다.

— 코드 InChaos

KeePass에는 "메모리"설정 옵션이 있습니다 : "클립 보드 동작 : 향상 : 한 번 붙여 넣기 및 클립 보드 스파이로부터 보호"

— DBedrenko

superuser.com/questions/412083/…

— 랜덤

답변:

안전하지 않습니다.

아래 인용 된 Security.stackechange.com 에서이 질문 및 답변을 참조하십시오 .

Windows 클립 보드가 안전 하지 않습니다 .

이것은 MSDN 기사 에서 인용 한 것 입니다.

클립 보드를 사용하여 텍스트 및 이미지와 같은 데이터를 저장할 수 있습니다. 클립 보드는 모든 활성 프로세스가 공유하기 때문에 클립 보드간에 데이터를 전송하는 데 사용할 수 있습니다.

이것은 아마도 리눅스 머신에도 적용될 것입니다.

이것이 문제입니까? 아니요. 누군가 이것을 악용하려면 클립 보드에서 데이터를 읽을 수있는 컴퓨터에 맬웨어가 있어야합니다. 그가 컴퓨터에 악성 코드를 설치하는 능력이 있다면 키로거 등을 포함하여 그가 할 수있는 일이 많이 있기 때문에 걱정할 것이 훨씬 더 많습니다.

— 켈 타리
소스

켈 타리가 설명 하듯이 클립 보드의 데이터를 읽는 것이 쉽지는 않지만 악성 소프트웨어가 클립 보드를 처음 읽는다는 사실이 더 큰 관심사입니다. 암호를 암호 필드에 복사하여 붙여 넣는 것이 암호를 안전하게 유지하는 데 영향을 미치지 않기 때문에 20-30 자의 안전한 임의 암호를 입력하지 않아야합니다.

— Ramhound

물론 브라우저 프로세스를 악용하거나 다른 프로세스의 메모리를 읽거나 캡처를위한 후크를 설치하는 맬웨어보다 클립 보드를 읽는 맬웨어 (웹 페이지에 내장 된 완전히 "법적인"자바 스크립트 조각)에 비해 임계 값이 훨씬 낮습니다. 키 누르기 등

— 데이먼

@Damon 내가 이해하는 바에 따르면 JS는 정확하게이 이유로 클립 보드에 임의로 액세스 할 수 없습니다.

— 대령 삼십 2

@Damon MDN에 따르면 앱에 붙여 넣기 명령을 사용할 수있는 권한이 있어야하므로 임의의 페이지에서 클립 보드를 스니핑 할 수 없습니다.

— Thirty Two 대령

@zzzzBov-Javascript에서 "무료 머니-여기를 클릭하십시오!"라는 버튼을 추가하지 못하게하는데 버튼은 실제로 무료로 돈을주는 대신 클립 보드를 복사합니까?

— Yay295

클립 보드에 액세스 할 수있는 응용 프로그램 일뿐 아니라 실제로 가져 오려는 맬웨어 일뿐입니다.

실수로 또는 고의로 컴퓨터에 물리적으로 액세스 한 후 클립 보드의 내용을 공개 할 수있는 사용자도 있습니다. 물론 그들은 어쨌든 많은 해를 끼칠 수 있지만 클립 보드에 암호가 없으면 실제 암호를 얻는 것은 어렵습니다 (웹 사이트 / 프로그램에 대한 액세스뿐만 아니라).

따라서 클립 보드를 청소했는지 확인하십시오 (일부 응용 프로그램은 이전 클립 보드 값을 다시 검색 할 수 있기 때문에 100 % 신뢰할 수 없음) 또는 일종의 암호화를 사용하십시오 (이것은 사소하지는 않지만 실수로 암호가 누출되는 것을 방지합니다)

— 미쿠 스
소스

암호화는이를 지원하지 않습니다. 공격은 클립 보드 (또는 클립 보드 기록)가 저장된 메모리에 대한 것이 아닙니다. 공격은 표준 클립 보드 API (실행중인 프로그램을 읽거나 다른 사용자가 임시 액세스 권한을 얻은 후 붙여 넣기를 시작 함)를 사용하여 클립 보드 내용을 검색합니다. .

— Peter Cordes

Peter는 정확히 알지 못하지만 원래 솔루션의 아키텍처는 알지 못하지만 응용 프로그램이 처음에 클립 보드에 내용을 넣은 다음 검색하면 데이터 자체를 이해할 수있는 방식으로 수정할 수 있습니다. 따라서 누군가 또는 누군가를보고있는 누군가가 우연히 내용을 공개 할 때 내부 내용과 사용 방법이 아직 명확하지 않습니다. 평문 암호를 밝히는 방법은 가능한 한 가장 높은 보안 위반입니다. 솔직히 클립 보드 나 텍스트 파일 등으로 복사하는 것을 고려하지 않을 것입니다. : 응용 프로그램 사이의 통신의 더 나은 방법이 있습니다

— mikus는

@mikus 사실이지만 이것은 일반적으로 클립 보드가 작동하는 방식이 아닙니다. 클립 보드는 실제로 한 앱에서 다른 앱으로 콘텐츠를 공유 할 때만 유용합니다. 단일 앱은 나중에 검색 할 수 있도록 암호화 된 내용을 메모리에 저장하기 만하면 클립 보드 전체를 피할 수 있습니다.

— trlkly

실제로, 나는 달리 말한 적이 없지만 LastPass와 같은 상용 응용 프로그램이 클립 보드에 아무것도 남기지 않는다고 생각하는 한 저자가 두 응용 프로그램을 모두 제어 할 수 있다고 생각합니다. 그러면 원하는 인코딩 또는 암호화를 선택할 수 있습니다. 그리고 다른 통신 방법도 :) 마지막 패스가 일반 텍스트 암호를 클립 보드에 저장하면 IMO를 사용하는 것이 옳지 않습니다.

— mikus

모든 사람이 동의 하듯이 클립 보드는 일반적으로 안전하지 않습니다. 따라서 후속 질문은 명백합니다. 복잡한 암호 / 암호를 암호 관리자에서 필요한 위치로 가져 오는 방법은 물론이고 노출시키지 않아도됩니다.

"다음에 클릭 할 창에 암호를 입력하십시오"또는 이와 유사한 옵션이있는 암호 관리자를 찾으십시오. 나는 대부분의 암호에 대해 편집증이 아니기 때문에 예를 모른다. (실제로 GPG 개인 키와 같이 사용하는 보안 수준이 높은 몇 가지 암호 만 기억합니다.)

커뮤니티 위키 :이 기능이있는 프로그램 이름을 편집하십시오.

키 패스 X

KeepassX의 0.4.3 버전은 X 초 후에 클립 보드 지우기를 제공합니다 (기본값은 20이지만 8은 좋습니다)

— Peter Cordes
소스