Passwort per Copy Paste einfügen: Sicherheitstechnisch gaaanz schlecht

Wenn man bei einem PW Manager die Daten per Copy&Paste einfügen muss, dann ist das Auslesen der Daten aus dem Arbeitsspeicher doch völlig uninteressant - und der PW Manager sicherheitstechnisch eine Katastrophe.

Die Zwischenablage auslesen ist noch einfacher als Tastendrücke mitlesen. Dazu den Titel des Programms auslesen wo eingefügt wird (was auch recht einfach ist), schon weiss man auch wofür die Logindaten benutzt werden - und alles ohne Adminrechten.

Da wird sich wohl kaum einer die Mühe machen den Arbeitsspeicher zu scannen.

Deshalb leeren die meißten Passwortmanager die zwischenablage nach ein Paar Sekunden. Das wiederherzustellen geht sicher auch, dann sind wir aber wieder beim Arbeisspeicher auslesen.

Na ja, nach ein paar Sekunden die Zwischenablage löschen bringt ja nix.
Man braucht z.B. nur alle 500 ms die Zwischenablage prüfen, oder aber mit ein wenig Aufwand sich (also z.B. ein Spy-Programm) benachrichtigen lassen; sobald was in die Zwischenablage kopiert wird.

Diesen Grund gegen Copy&Paste anzuführen ist aber albern, eben weil dazu der Computer infiziert sein muss. Und ein infizierter Rechner ist ohnehin nicht und niemals vertrauenswürdig.

Siehe auch:
https://www.ncsc.gov.uk/blog-post/let-them-paste-passwords

Hingegen ist es deutlich gefährlicher Browserextensions mit/von Passwortmanagern zu verwenden. Eben weil im Zweifel hier Programmierfehler (sowohl in der Extension, als auch im Browser selbst) dazu führen können, dass die eigene Datenbank abhanden kommt, und zwar sogar ohne das man das unbedingt mitbekommt. Im Zweifel würde ich hier sogar die eingebauten Passwortsafes der Browser selbst vor solch einer Browserextension vorziehen.



1 mal bearbeitet, zuletzt am 21.02.19 15:09 durch Walter Plinge.

Klar, ein Rechner muss infiziert sein, damit Passwörter abgegriffen werden können, ganz egal ob per Keylogger, Zwischenablage auslesen oder gar per Speicher auslesen, oder anders.

Ich meine halt, dass das Auslesen aus der Zwischenablage das einfachste überhaupt ist. Das geht mit z.B. nem kleinem vba script.
Was ist daran bitte albern?
Den Speicher auslesen ist da und ein vieeelfaches aufwändiger und man benötigt dafür vor allem Adminrechte.

Und ja, Browserextensions, die Passwörter speichern/einsetzen sind auch nicht das sicherste, aber das war nicht mein Thema.

und im Artikel auf
https://www.ncsc.gov.uk/blog-post/let-them-paste-passwords
steht ja auch dass Copy & Paste ein Sicherheitsrisiko ist.

Sonst sagt der Artikel, dass das Verbieten von Copy & Paste dazu führt, dass Leute kurze und leicht merkbare Passwörter oder immer das gleiche verwenden. Und das ist eher schlecht.

Walter Plinge schrieb:
--------------------------------------------------------------------------------
> Diesen Grund gegen Copy&Paste anzuführen ist aber albern, eben weil dazu
> der Computer infiziert sein muss. Und ein infizierter Rechner ist ohnehin
> nicht und niemals vertrauenswürdig.

Infiziert? Nein, es gibt ja auch Tools, die eine Historie des Clipboards vorhalten (ist das nicht sogar eine neue Funktion in Windows 10?). Ich selbst pflege eines davon (GExperts).

Ist so ein Tool installiert, kann man jegliche jemals im Clipboard abgelegten Passworte nachträglich auslesen.

dummzeuch schrieb:
--------------------------------------------------------------------------------
> Walter Plinge schrieb:
> ---------------------------------------------------------------------------
> -----
> > Diesen Grund gegen Copy&Paste anzuführen ist aber albern, eben weil dazu
> > der Computer infiziert sein muss. Und ein infizierter Rechner ist
> ohnehin
> > nicht und niemals vertrauenswürdig.
>
> Infiziert? Nein, es gibt ja auch Tools, die eine Historie des Clipboards
> vorhalten (ist das nicht sogar eine neue Funktion in Windows 10?). Ich
> selbst pflege eines davon (GExperts).
>
> Ist so ein Tool installiert, kann man jegliche jemals im Clipboard
> abgelegten Passworte nachträglich auslesen.

Hä? ja und? Also weil ICH als user BEWUSST so ein Programm installiere, mit dem ICH meine EIGENEN Passwörter aus der Zwischenablage fischen könnte, muss ein PC nicht mehr infiziert sein, um diese Daten abzugreifen?
Denk nochmal drüber nach...
Also entweder diese Programme werden bewusst vom User installiert und es ist nichts weiter dabei oder sie werden ohne das Wissen des Users heimlich durch Schadsoftware installiert, wobei der Rechner hierfür erstmal wieder infiziert sein müsste...

Keyloggen kann man ohne Root, beliebigen Speicher lesen nicht

gaym0r schrieb:
--------------------------------------------------------------------------------
> dummzeuch schrieb:
> ---------------------------------------------------------------------------
> > Walter Plinge schrieb:
> >
> ---------------------------------------------------------------------------
> > Ist so ein Tool installiert, kann man jegliche jemals im Clipboard
> > abgelegten Passworte nachträglich auslesen.

> Hä? ja und? Also weil ICH als user BEWUSST so ein Programm installiere, mit
> dem ICH meine EIGENEN Passwörter aus der Zwischenablage fischen könnte,
> muss ein PC nicht mehr infiziert sein, um diese Daten abzugreifen?
> Denk nochmal drüber nach...

Es gibt auch PCs, die nicht in abgeschlossenen Räumen stehen und die nicht immer gesperrt werden, wenn der User den Raum verlässt. (Schon mal z.B. von Großraumbüros gehört?)
Denk nochmal drüber nach...

twm