Windowsのコマンドラインでパスワードを渡すときのセキュリティの考慮事項

Vista、7、8などのWindowsクライアントに適用されますkeepassのURLからpasswortパラメーターを持つツールを実行する場合のセキュリティ上の考慮事項は何ですか。

それが完全にモロニックなのか、それともあなたのマシンが合理的に安全であれば「十分に安全」なのか（トロイの木馬検出などの最新のウィルススキャナ、ローカルファイアウォール、暗号化されたHDD）。

理由は、私はkeepassのあらゆる種類のシステムの資格情報を保持し、URLを実行して接続を開きたいので、たとえばldapadmin.exeを使用したLDAPディレクトリ、Puttyを介したSSH、アドオン付きのWinSCPに接続できるようにすることですまた、特別なコマンドラインツールを介したWindows Remotedesktop接続。

しかし、私は疲れており、セキュリティを意識した同僚やITセキュリティスタッフに対して訴訟を起こしたいと考えています。

つまり、コマンドラインパラメーターとしてパスワードを渡してKeePassからWindowsツールを実行することは、どれだけ安全か安全でないかです。オートタイプはしばしば退屈であり、本当に安全であれば、Windowsイベントキューを通過するものであるため疑いを抱きます。

返信の作成に時間を割いてくれてありがとう:-)。

最悪のケースを考えてみましょう。ローカルで使用されるパスワードはシステム上で平易です。

なぜ最悪の場合？

• コマンドラインパラメーターは（ローカルに）ログに記録される場合があります。
• 使用しているアプリケーションは、パスワードをキャッシュ/保存する場合があります。

（私はここでより多くのポイントを失っているかもしれません）

ほとんどの一般的なマルウェアは、システム上のパスワードを探しませんので、心配する必要はありません。

考慮すべきこと：

1. 物理的アクセス -ディスク全体を暗号化するか、スクリプトを暗号化された形式/コンテナで保存しない限り、マシンに物理的にアクセスできる人は誰でも（オフにした後）マシンにアクセスできます。暗号化を使用している場合、最も弱いリンク、つまりマシン上のユーザーアカウントの資格情報になります。
2. 標的型マルウェア/マシンの侵害 -ペンテストまたはネットワーク侵害（マシンが侵害される場所）の場合、アカウントが付与するアクセスと権限に応じて、敵がネットワーク上のより多くのマシンに簡単に接続できるようにしましたそれら。
3. ロギング -実行するツールのコマンドラインパラメーターが（リモートサーバー上で）記録され、最初にログサーバーが危険にさらされた場合、この場合は再びフリーパスが提供されます。ただし、これはログサーバーのセキュリティの欠点ですが、マシン上で平文のパスワードを使用する別の方法では問題が発生する可能性があります。

要するに、ここでは利便性のために少しセキュリティを犠牲にしています。

ITがセキュリティをどの程度重視しているかに応じて、彼らはそのアイデアで大丈夫な場合とそうでない場合があります。

最悪の場合の状況を排除する場合、唯一の懸念は（考えられることですが）ロギングです。