パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

複数のパスワード管理ツールでメモリスキャンによってパスワードを読み取れる問題があるとの指摘」記事へのコメント

  • たいとるおんりー

    外部からのメモリスキャンを許してる時点で、やりたい放題されているも同然なわけで、対応することで別のリスクが存在するのであればそりゃあ無視されるだろうとしか……。

    --
    しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
    • パスワード管理ソフトの中身を抜くことができると「そのマシンに対してやりたい放題」から「管理ソフトに保存されてるアカウントなどにもやりたい放題」に被害レベルが上がるよ。

      あと、画面に表示したりする以上はメモリ上に平文のパスワードが存在することを完全に避けるのは難しい。
      このセキュリティコンサルタントが指摘してるのは「ソフトを立ち上げただけで、マスターパスワードを入力する前の状態でも読み取れる」という点。
      「マスターパスワードを復号鍵の一部として使うようにしろよ」ってことだろうね。
      そうすれば「そのマシンにやりたい放題になってもマスターパスワードがわからないと管理ソフトの情報にはアクセスできない」となるから。

      まあデスクトップにマスターパスワードを書いたテキストファイルを置いてる人には同じことだけど。

      --
      うじゃうじゃ
      • by Anonymous Coward

        他アプリのメモリをスキャンできる以上は管理者権限相当でその悪意あるソフトは動いているわけで、
        そうであれば「管理ソフトに保存されてるアカウントなどにもやりたい放題」なんてもんじゃなく
        キーロガー仕込まれてやりたい放題とかそのレベルの話になる
        変な話、パスワード管理ツールで管理してないのも漏れる。
        管理ツールから漏れて攻撃者にラッキーなのは、サービスとアカウントを一括取得できるというところ。
        これは確かにデカいが、マスタパスワードはそこそこの頻度で入力するだろうからキーロガーでも取得できる
        結局のところ管理ツールに脆弱性がなくても、メモリスキャンされるような状況なら一網打尽にされる
        テキストファイルおいてりゃ同じ、ではない

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

処理中...