Windowsクリップボードはどのくらい安全ですか？

Lastpassからデスクトップアプリケーションにパスワードを取得する方法として、Windowsクリップボードを使用しています。

これは正確にどれだけ安全か疑問に思っていますか？どのプログラムもいつでもクリップボードにアクセスできませんか？

windows security clipboard

— キリ
ソース

IEの一部の（古い）バージョン（おそらくIE6）では、クリップボードアクセスがデフォルトで有効になったことを覚えています。ウェブサイトがクリップボードにアクセスしようとするたびにMSが警告ウィンドウを置くこのリンクを見つけましたが、以前はなかったようです。したがって、IE <= 6を使用している場合（そうではないのですか？）、余分なリスクが生じる可能性があります。

— カルロスキャンデロス

オフィス環境の古い共有VMWareプレーヤーでクリップボードを実行すると、同僚に関する多くの興味深いことが明らかになります。昔の仕事で人々に対応するときは常に注意しなければなりませんでした。カットアンドペーストするとボスのクリップボードに巻き込まれる可能性が高いからです。

— ピーターターナー

@CarlosCampderrósフラッシュでもそれが可能だと思います。

— CodesInChaos

持ち歩くには、「メモリ」設定でのオプションがあります：「クリップボードの行動：拡張を：一度貼り付けが可能とクリップボードのスパイから守る」

— DBedrenko

superuser.com/questions/412083/...

— ランダム

回答:

安全ではありません。

以下に引用されているSecurity.stackechange.comでこの質問と回答を参照してください。

Windowsのクリップボードは安全ではありません。

これはMSDNの記事からの引用です。

クリップボードを使用して、テキストや画像などのデータを保存できます。クリップボードはすべてのアクティブプロセスで共有されるため、クリップボードを使用してプロセス間でデータを転送できます。

これはおそらくLinuxマシンにも当てはまるはずです。

これは心配ですか？いいえ。誰かがこれを悪用するには、クリップボードからデータを読み取ることができるマルウェアがマシン上になければなりません。彼があなたのマシン上でマルウェアを取得する能力を持っている場合、キーロガーなど、彼ができることは他にもたくさんあるので、心配する必要のあるものはもっと大きくなります。

— ケルタリ
ソース

Keltariが説明するように、クリップボードのデータを読むのは簡単ですが、最初にクリップボードを読む悪意のあるソフトウェアを持っているという事実はより大きな懸念です。これが、パスワードをパスワードフィールドにコピーアンドペーストしてもパスワードの安全性に影響を与えない理由です。そのための機能は、20〜30文字の安全なランダムパスワードを入力しないことです。

— ラムハウンド

もちろん、ブラウザプロセスを悪用したり、別のプロセスのメモリを読み取ったり、キャプチャするフックをインストールしたりするマルウェアと比較して、クリップボードを読み取るマルウェア（Webページに埋め込まれたJavaScriptの完全に「合法な」部分）のしきい値ははるかに低くなりますキープレスなど

— デイモン

@Damon私が理解していることから、JSはまさにこの理由でクリップボードにランダムにアクセスできません。

— 大佐32 2

@Damon MDNによると、アプリはpasteコマンドを使用する許可を持っている必要があるため、ランダムページはそれを使用してクリップボードをスニッフィングできません。

— サーティーツー大佐

@zzzzBov-Javascriptで "Free Money-Click Here！"というタイトルのボタンを誰かが追加するのを阻止するのに、ボタンはお金を無料で提供する代わりに実際にクリップボードをコピーしますか？

— Yay295

クリップボードにアクセスできるのはアプリケーションだけでなく、実際にそれを取得したいのはマルウェアだけではないことに注意してください。

また、コンピューターに物理的にアクセスした後、誤ってまたは意図的にクリップボードの内容を公開するユーザーもいます。もちろん、彼らはとにかく多くの害を及ぼす可能性がありますが、実際のパスワードを取得するのは難しいです（ウェブサイト/プログラムにアクセスするだけではありません）（クリップボードにない限り...）

そのため、クリップボードがきれいになっていることを確認し（一部のアプリケーションは古いクリップボード値を再度取得できるため、これは100％信頼性がありません）、何らかの暗号化を使用します（これは簡単ではありませんが、簡単なものでも偶発的なパスワード漏洩から保護します）

— ミクス
ソース

暗号化はこれに役立ちません。攻撃は、クリップボード（またはクリップボードの履歴）が保存されているメモリに対するものではありません。攻撃は、標準のクリップボードAPI（読み取り中の実行中のプログラム、または一時的なアクセスを取得して貼り付けを開始する別のユーザー）を使用してクリップボードのコンテンツを取得します。

— ピーターコーデス

正確にはピーターではありませんが、元のソリューションのアーキテクチャはわかりませんが、アプリケーションが最初にコンテンツをクリップボードに入れてから取得すると、それ自体が理解できる方法でデータを変更できます。したがって、誰かまたは誰かが誤ってコンテンツを公開した場合でも、内部の内容とその使用方法はまだ明らかではありません。プレーンテキストのパスワードを明らかにする方法は、可能な限り最高のセキュリティ侵害です。正直に言って、クリップボードやテキストファイルなどにコピーすることは決して考えていません。アプリ間のコミュニケーションのより良い方法があります:)

— mikus

@mikus trueの場合、これは通常クリップボードの動作方法ではありません。クリップボードは、アプリ間でコンテンツを共有する場合にのみ有効です。単一のアプリでも、後で取得するために暗号化されたコンテンツをメモリに保存し、クリップボードを完全に回避できます。

— trlkly

確かに、私は別のことを言ったことはありませんが、LastPassのような商用アプリケーションがクリップボードに何かを残すとは思わない限り、著者が両方のアプリケーションを制御できると思います。そうすれば、好きなエンコーディングや暗号化を選択できますよね？および他の通信方法も同様です:)最終パスがプレーンテキストのパスワードをクリップボードに保存する場合、IMOを使用するのは正しくありません。

— mikus

皆が同意するように、クリップボードは一般的に安全ではありません。したがって、フォローアップの質問は明らかです。複雑なパスワード/パスフレーズを、パスワードマネージャーから必要な場所に、それらを途中で公開することなく取得する方法です。

「クリックした次のウィンドウにパスワードを入力する」などのオプションがあるパスワードマネージャーを探します。私はほとんどのパスワードについてそんなに妄想的ではないので、例を知りません。（そして、実際には、GPG秘密鍵のように、私が使用する非常に少数の高セキュリティパスワードを記憶しています。）

コミュニティwiki：この機能を備えたプログラムの名前を編集します。

KeePassX

KeepassXの私のバージョン0.4.3は、X秒後にクリップボードをクリアすることを提供します（デフォルトは20ですが、8は問題ありません）

— Peter Cordes
ソース