विंडोज क्लिपबोर्ड कितना सुरक्षित है?


49

मैं पिछले अनुप्रयोगों से डेस्कटॉप अनुप्रयोगों में पासवर्ड प्राप्त करने की एक विधि के रूप में विंडोज क्लिपबोर्ड का उपयोग कर रहा हूं।

मैं सोच रहा था कि यह कितना सुरक्षित है? क्या कोई भी कार्यक्रम किसी भी समय क्लिपबोर्ड तक नहीं पहुंच सकता है?


1
मुझे याद है कि IE (शायद IE6) के कुछ (पुराने) संस्करणों में डिफ़ॉल्ट रूप से क्लिपबोर्ड का उपयोग सक्षम था। मुझे यह लिंक मिल गया है जहां एमएस ने हर बार एक चेतावनी विंडो डाली जब एक वेबसाइट ने आपके क्लिपबोर्ड तक पहुंचने की कोशिश की, लेकिन ऐसा लगता है कि यह पहले नहीं था। इसलिए यदि आप IE <= 6 का उपयोग करते हैं (तो आप सही नहीं हैं?) आप अतिरिक्त जोखिम में हो सकते हैं।
कार्लोस कैंपडरो जूल 6'15

3
ऑफिस सेटिंग में पुराने शेयर्ड VMWare प्लेयर पर क्लिपबोर्ड चलाने से आपके सहकर्मियों के बारे में कई दिलचस्प बातें पता चलती हैं। मुझे अपनी पुरानी नौकरी पर लोगों को जवाब देते समय हमेशा सावधान रहना पड़ता था क्योंकि एक अच्छा मौका था अगर मैं काटता और चिपकाता तो बॉस के क्लिपबोर्ड में हवा आ जाती।
पीटर टर्नर

1
@ CarlosCampderrós मुझे लगता है कि फ्लैश अभी भी अनुमति देता है।
कोडइन्चोस

2
KeePass में "मेमोरी" सेटिंग्स में एक विकल्प है: "CLipboard व्यवहार: संवर्धित: एक बार चिपकाने और क्लिपबोर्ड जासूसों से बचाने की अनुमति दें"
DBedrenko

जवाबों:


59

यह सुरक्षित नहीं है।

इस प्रश्न और उत्तर को नीचे दिए गए Security.stackechange.com पर देखें:

Windows क्लिपबोर्ड सुरक्षित नहीं है

यह MSDN लेख का एक उद्धरण है ।

क्लिपबोर्ड का उपयोग डेटा को संग्रहीत करने के लिए किया जा सकता है, जैसे कि पाठ और चित्र। क्योंकि क्लिपबोर्ड सभी सक्रिय प्रक्रियाओं द्वारा साझा किया जाता है, इसका उपयोग उनके बीच डेटा स्थानांतरित करने के लिए किया जा सकता है।

यह संभवतः लिनक्स मशीनों पर भी लागू होना चाहिए।

क्या यह चिंता का विषय है? नहीं। किसी को इसका फायदा उठाने के लिए, उसे क्लिपबोर्ड से डेटा पढ़ने में सक्षम आपकी मशीन पर मैलवेयर रखना होगा। यदि वह आपकी मशीन पर मालवेयर प्राप्त करने की क्षमता रखता है, तो आपके पास चिंता करने के लिए बहुत बड़ी चीजें हैं क्योंकि उसके पास बहुत सारे अन्य सामान हो सकते हैं, जिसमें कीलॉगर और जैसे शामिल हैं।


4
जबकि क्लिपबोर्ड में डेटा को पढ़ना तुच्छ है, जैसा कि केल्टरी बताते हैं, आपके पास दुर्भावनापूर्ण सॉफ़्टवेयर है जिसे आप पहली बार में क्लिपबोर्ड पढ़ रहे हैं, यह आपकी बड़ी चिंता है। यही कारण है कि आपके पासवर्ड को पासवर्ड फ़ील्ड में कॉपी करने और पेस्ट करने से आपके पासवर्ड को सुरक्षित रखने पर कोई प्रभाव नहीं पड़ता है, ऐसा करने की क्षमता दृढ़ है। यह 20-30 वर्ण सुरक्षित यादृच्छिक पासवर्ड टाइप नहीं कर रहा है।
रामहाउंड

2
बेशक थ्रेशोल्ड मैलवेयर के लिए बहुत कम है जो क्लिपबोर्ड पढ़ता है (एक वेब पेज में एम्बेडेड जावास्क्रिप्ट का एक पूरी तरह से "कानूनी" टुकड़ा करेगा) बनाम मैलवेयर जो ब्राउज़र प्रक्रिया का शोषण करता है या किसी अन्य प्रक्रिया की मेमोरी पढ़ता है, या कैप्चर करने के लिए हुक स्थापित करता है। कीपेस, इत्यादि
डेमन

24
@Damon जो मैं समझता हूं, जेएस के पास इस कारण से क्लिपबोर्ड तक यादृच्छिक पहुंच नहीं है।
कर्नल थर्टी टू

3
@Damon MDN के अनुसार , ऐप में पेस्ट कमांड का उपयोग करने की अनुमति होनी चाहिए, इसलिए रैंडम पेज आपके क्लिपबोर्ड का उपयोग नहीं कर सकते।
कर्नल थर्टी टू

2
@zzzzBov - और "फ्री मनी - क्लिक करें ..." शीर्षक से जावास्क्रिप्ट में किसी को बटन जोड़ने से कोई क्या रोक सकता है, लेकिन बटन वास्तव में आपको मुफ्त में पैसा देने के बजाय आपके क्लिपबोर्ड को कॉपी करता है?
Yay295

6

बस ध्यान रखें कि यह न केवल उन अनुप्रयोगों के लिए है जिनकी क्लिपबोर्ड तक पहुंच हो सकती है और यह केवल मैलवेयर नहीं है जो वास्तव में इसे प्राप्त करना चाहते हैं।

ऐसे उपयोगकर्ता भी हैं जो कंप्यूटर पर भौतिक पहुंच प्राप्त करने के बाद गलती से या क्लिपबोर्ड की सामग्री को प्रकट कर सकते हैं। बेशक, फिर वे वैसे भी बहुत नुकसान कर सकते हैं, लेकिन वास्तविक पासवर्ड प्राप्त करना (और न केवल वेबसाइटों / कार्यक्रमों तक पहुंच) कठिन है (जब तक कि आपके पास क्लिपबोर्ड में नहीं है ...)

तो या तो सुनिश्चित करें कि क्लिपबोर्ड को साफ किया गया है (और यह 100% विश्वसनीय नहीं है क्योंकि कुछ एप्लिकेशन फिर से पुराने क्लिपबोर्ड मूल्यों को पुनः प्राप्त करने की अनुमति देते हैं) या किसी प्रकार के एन्क्रिप्शन का उपयोग करते हैं (यह तुच्छ नहीं है, लेकिन आसान भी आकस्मिक पासवर्ड रिसाव से बचाएगा।


1
एन्क्रिप्शन इसके लिए मदद करने वाला नहीं है। यह क्लिपबोर्ड (या क्लिपबोर्ड इतिहास) मेमोरी में संग्रहीत नहीं है। यह हमला मानक क्लिपबोर्ड एपीआई (या तो इसे पढ़ने वाले प्रोग्राम, या अस्थायी पहुंच प्राप्त करने और एक पेस्ट शुरू करने वाले) का उपयोग करके क्लिपबोर्ड सामग्री को पुनर्प्राप्त कर रहा है। ।
पीटर कॉर्ड्स

1
पीटर बिल्कुल नहीं, हम मूल समाधान की वास्तुकला को नहीं जानते हैं, लेकिन अगर आपका आवेदन पहली बार सामग्री को क्लिपबोर्ड में रखता है और फिर इसे पुनर्प्राप्त करता है तो यह डेटा को इस तरह से संशोधित कर सकता है कि यह केवल खुद के लिए समझ में आता है। इसलिए जब कोई या आपके साथ कोई गलती से दिख रहा है, तो यह पता चलता है कि यह अभी तक स्पष्ट नहीं है कि अंदर क्या था और इसका उपयोग कैसे किया जाए। किसी भी तरह से एक सादा पाठ पासवर्ड का खुलासा करना मेरे दिमाग में उच्चतम सुरक्षा उल्लंघन संभव है। मैं ईमानदारी से इसे क्लिपबोर्ड या टेक्स्ट फ़ाइल, ईटीएक्स पर कॉपी करने पर कभी विचार नहीं करता। क्षुधा के बीच संचार के बेहतर तरीके हैं :)
मिकस

3
@ एमिकस सच है, यह आमतौर पर क्लिपबोर्ड के काम करने का तरीका नहीं है। क्लिपबोर्ड वास्तव में केवल एक ऐप से दूसरे में सामग्री साझा करने के लिए उपयोगी है। एक एकल एप्लिकेशन बाद में पुनर्प्राप्ति के लिए मेमोरी में एन्क्रिप्टेड सामग्रियों को संग्रहीत कर सकता है और क्लिपबोर्ड से पूरी तरह से बच सकता है।
त्रिकली

वास्तव में, मैंने कभी भी अन्यथा नहीं कहा है, लेकिन जब तक मुझे नहीं लगता कि लास्टपास जैसे किसी भी व्यावसायिक अनुप्रयोग को क्लिपबोर्ड में कुछ भी छोड़ देता है, मुझे लगता है कि लेखक का दोनों अनुप्रयोगों पर नियंत्रण है। फिर वह जो चाहे एनकोडिंग या एन्क्रिप्शन चुन सकता है, है ना? और अन्य संचार विधियों के रूप में अच्छी तरह से :) अगर इसकी अंतिम क्लिपबोर्ड में प्लेनटेक्स्ट पासवर्ड की बचत होती है, तो आईएमओ का उपयोग करने के लिए इसका सही आवेदन नहीं है।
मिकस

2

जैसा कि सभी सहमत हैं, क्लिपबोर्ड आमतौर पर असुरक्षित है। इस प्रकार, फॉलोअप का प्रश्न स्पष्ट है: पासवर्ड मैनेजर से जटिल पासवर्ड / पासफ़्रेज़ कैसे प्राप्त करें, जहाँ उनकी ज़रूरत हो, उन्हें रास्ते में उजागर किए बिना।

एक पासवर्ड मैनेजर की तलाश करें जिसमें "अगली बार आप जिस विंडो पर क्लिक करें" या उसी तरह का अपना पासवर्ड टाइप करने का विकल्प हो। मैं किसी भी उदाहरण के बारे में नहीं जानता, क्योंकि मैं उस पासवर्ड के बारे में पागल नहीं हूं। (और मैं वास्तव में मेरे द्वारा इस्तेमाल किए जाने वाले बहुत ही उच्च-सुरक्षा पासवर्डों को याद करता हूं, जैसे मेरी GPG निजी कुंजी।)

सामुदायिक विकी: उन कार्यक्रमों के नामों को संपादित करता है जिनमें यह सुविधा है:

  • KeePassX

KeepassX, 0.4.3 का मेरा संस्करण, X सेकंड के बाद क्लिपबोर्ड को साफ़ करने की पेशकश करता है (20 तक चूक लेकिन 8 ठीक है)

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.