Действительно ли это небезопасно к иметь пароль на буфере обмена?
Таким образом, я использовал truecrypt в течение нескольких лет теперь. Приблизительно 6 месяцев назад, прежде чем я учил наизусть свой пароль (это было действительно длинно, и я не хотел это уязвимый для списков слов), я раньше копировал и вставлял его от текстового файла.
Мне не включили область подкачки, но я задавался вопросом, мой пароль будет восстанавливаемым? Я использовал srm на текстовом файле и я сделал sfill в файловой системе так, чтобы удалил его из файловой системы, кто-либо знает, хранится ли буфер обмена на жестком диске или поршне? какие-либо мысли?
2 ответа
После наблюдения любопытного сообщения я решил провести немного исследования. Кажется, что в любой системе управления окнами (например, X-окна, и т.д.) у Вас есть общее пространство, которое содержит содержание буфера обмена. По сути, это доступно любой программе, которая может вытянуть от буфера обмена. По сути, я ожидал бы, что буфер обмена будет так же небезопасен как любое другое устройство ввода данных с протестом, являющимся этим, это будет хуже, чем, скажем, клавиатура. Например, предположите, что Вредоносное программное обеспечение было установлено на Вашем компьютере, который мог считать Ваши нажатия клавиш что-либо, что Вы вводите, было бы небезопасно. Я не вижу оснований, которые некоторое другое вредоносное программное обеспечение не могло только получить доступ к буферу обмена периодически для проверки на содержание. В то время как это было бы решительно менее эффективным способом сильно ударить Ваш пароль, он мог достигнуть Ваши биты и байты.
https://github.com/astrand/xclip/blob/master/README
https://en.wikipedia.org/wiki/X_Window_selection
я не эксперт по этому материалу, таким образом, я приветствую чей-либо еще лучший ответ. Примерно все, что я сказал выше, является довольно спекулятивным.
Буфер обмена кажется читаемым любой программой, поэтому, пока Вы доверяете своей ОС & программы это должно быть достаточно безопасно - KeePass, используют буфер обмена, я думаю, что LastPass делает также? при выполнении вредоносного программного обеспечения, Вы являетесь уже "изогнутыми".
, Но я не думаю, что буфер обмена обычно пишется в файл (если Вы не выполняете менеджера по буферу обмена / сохранение программы как ClipMan), но существует много различных рабочих столов... Я думаю XFCE & Gnome / Единица не делает.
намного большая угроза безопасности сохраняет Ваш пароль в файл простого текста во-первых. Должен был использовать программу как KeePass или LastPass, или передать эхо по каналу к gpg & сохраните зашифрованный, затем только дешифруют, чтобы экранировать/подключиться с консоли или извлечь для трамбовки (ramfs, или tmpfs, если никакая подкачка - забавный факт: tmpfs может быть подкачан ).
shred, как гарантируют, не перезапишет файл, и я не ожидал бы srm быть лучше. И на флэш-памяти (SSD, USB pendrive, и т.д.) любой сектор может быть внутренне повторно отображен в любое время, даже заполнив целый диск, Вы никогда не можете быть уверены, что что-либо действительно перезаписывается.