X
Kommentare zu:

Windows 10: Cloud-Clipboard synchronisiert Passwörter im Klartext

oder

Zugangsdaten vergessen?

Jetzt kostenlos Registrieren!
[o1] Labidium am 10.05. 12:36
+5 -1
Es kam ja erst gestern per Insider-Programm. Da wird sicherlich noch etwas unternommen.
[re:1] mt03c06 am 10.05. 13:04
+4 -
@Labidium: Ein Clipboard transportiert das was man hineinkopiert. Das ist nun mal so.
Trotzdem wäre es geschickt, falls das Clipboard die Möglichkeit hat Passwortfelder zu erkennen, das Kopieren abzulehnen oder zumindest einen Warnhinweis anzuzeigen.
[re:1] Labidium am 10.05. 19:11
+1 -
@mt03c06: Genau sowas in die Richtung meinte ich.
[re:1] TheBNY am 11.05. 16:32
+ -
@Labidium: Ich wollte auch gerade sagen: "Passwörter einfach nicht kopieren!"

Aber genau das was ihr da sagt, wäre eigentlich sinnvoll.
[o2] TiKu am 10.05. 12:48
+1 -1
"Das Betriebssystem erkennt zum Beispiel, wenn ein Textfeld im Browser zur Eingabe eines Passworts bestimmt ist."
Inwiefern erkennt das Betriebssystem das? Die Webseite teilt dem Browser(!) mit, dass das Feld ein Passwortfeld ist. Der Browser(!) sorgt für die entsprechende Darstellung. Auch bei Desktopanwendungen sind es die Anwendungen, die dem System mitteilen, ob ein Feld ein Passwortfeld ist - spezielle Frameworks wie Gtk oder Qt mal außer Acht gelassen.
Selbst wenn es Microsoft gelingt, betriebssystemseitig über alle Anwendungstypen und Browser hinweg zuverlässig zu erkennen, welcher Text aus einem Passwortfeld stammt, ist das nur die halbe Miete. Interessanter wäre, zu erkennen, welcher Text für ein Passwortfeld BESTIMMT ist. Das können sie aber erst erkennen, wenn der Nutzer den Text einfügt und da ist das Kind längst in den Brunnen gefallen.
[re:1] ger_brian am 10.05. 13:05
+4 -
@TiKu: Richtig! Ich verstehe das auch nicht. Wenn ich aus einem Passwort-Manager meiner Wahl ein Passwort kopiere, dann ist das für das OS einfach nur ein normaler String in der Zwischenablage. Wie soll das funktionieren?
[re:1] retrobanger am 10.05. 13:14
+2 -3
@ger_brian: gar nicht weil das alles nur für den after ist
[re:1] Alexmitter am 10.05. 13:37
+2 -1
@retrobanger: Und warum soll es genau für dich sein?
[re:1] retrobanger am 11.05. 19:21
+ -
@Alexmitter: Der Versuch lustig zu sein. Das Microsofts Bemühungen, einen vernünftigen und sicheren Cloud Dienst bereitzustellen für den after sind, zeigt sowohl die vergangenheit s auch Windows 10. Sollen sie den Cloud Kram rausschneiden, den Store für win32 Anwendungen lassen und uns so ein gutes system bescheren, und nicht so einen instabilen Scheiss wie jetzt.
[re:2] EvilMoe am 10.05. 13:39
+ -
@ger_brian: Weil er erkennt das du einen String eben aus einem Passwordmanager kopierst? Genauso sind Passwortfelder im Browser speziell deklariert. Von daher sollte es überhaupt kein Problem sein, dies zu erkennen.
[re:1] ger_brian am 10.05. 13:45
+ -
@EvilMoe: Und woher soll das Betriebssystem wissen, was ein Passwortmanager ist? Davon gibt es nicht nur 2 oder 3 und ich kann mir sowas auch selbst programmieren. Woher soll ein OS das wissen?
[re:2] TiKu am 10.05. 14:31
+ -
@EvilMoe: Solange der Browser dem System nicht über eine noch zu implementierende API mitteilt, dass der Nutzer gerade Text aus einem Passwortfeld kopiert, hat das Betriebssystem da eigentlich keine Möglichkeiten.
[re:3] DON666 am 10.05. 20:05
+ -1
@EvilMoe: Und wenn man gar keinen Passwortmanager verwendet, sondern z. B. eine verschlüsselte Textdatei angelegt hat, in der man die ganzen Login-Daten sammelt? Das kannst du wohl kaum OS-seitig irgendwie erkennen bzw. abfangen.

Ich denke, mit dem Risiko wird man wohl leben müssen, wenn man solch ein Feature benutzen will.

@Minusklicker: Dankeschön, und jetzt erläutere mir doch bitte meinen Denkfehler. Oder hast du einfach nur ein Problem mit mir? Erzähl doch mal.
[o3] Johnny Cache am 10.05. 13:37
+6 -1
Sorry, aber das versteht sich ja wohl von selbst. Wer irgendwas sicherheitsrelevantes macht darf eine solche Funktion selbstverständlich niemals aktivieren. Von daher verstehe ich auch diesen ganzen Cloud-Quatsch nicht, weil es oft für mehr Probleme sorgt als daß es Nutzen bringt.
[o4] Chuuei am 10.05. 13:38
+6 -1
Ich sehe das Problem nicht ganz. Aus korrekt implementierten Passwortfeldern kann man so oder so keine Passwörter kopieren. Die Passwörter welche in der Zwischenablage landen kommen also aus eh schon unsicheren Quellen. Das Problem liegt also wie so oft vor dem Rechner.
[re:1] Johnny Cache am 10.05. 14:25
+1 -
@Chuuei: Und Passwörter die nicht kopiert werden können liegen dann eben auf Zetteln auf dem Tisch. Macht besonders in Firmen Sinn, weil man dann nicht ständig nach dem aktuellen Passwort fragen muß. ;)
[o5] feinstein am 10.05. 14:54
+ -8
Das hört sich ja wieder nach einer schrottigen Implementierung und und ich hatte es befürchtet. Hat Nadell nicht vor wenigen Tagen davon gefaselt, dass man die Daten der Nutzer schützen will? Alles leere Versprechen scheinbar.

Das Mindeste wäre, dass man den Verlauf bzw. einzelne Strings darin, EINFACH löschen kann, ohne sich durch irgendwelche Systemmenüs zu klicken. Idealerweise hätte ich neben jedem Eintrag in der History direkt einen Button zum Löschen.
Eine Zeiteinstellung zum Löschen der History wäre auch nicht schlecht, genauso, wie eine API für Passwordmanager, die erkannte Passwörter aus dem Verlauf löschen können.

Was nicht klar wird ist, ob man die in der History gespeicherten Daten auch lokal nutzen kann, also ob die Zwischenablage endlich ein "Gedächtnis" erhält, oder ob dieser Verlauf ausschließlich für das Sharen via Cloud verwendet werden kann. Wie die Daten übertragen und vermutlich in Onedrive gespeichert werden, wann sie dort gelöscht werden, davon erfährt man auch nichts.

Well done, Microsoft.
[re:1] Chuuei am 10.05. 15:36
+3 -
@feinstein: Wieder ein Paradebeispiel wie rumgemotzt wird, ohne sich das Feature überhaupt mal anzugucken oder sich zu informieren. Der Verlauf muss sowohl lokal erst aktiviert werden, als auch die Remote Verteilung und dabei gibts direkt nen Link zu den Datenschutzbestimmungen. Dort steht drin was wann wie gespeichert wird... Mehr als die Info anbieten kann man doch auch nicht... "Idealerweise hätte ich neben jedem Eintrag in der History direkt einen Button zum Löschen." Hier wird ersichtlich, dass du nichtmal das Bild hier auf Winfuture angesehen hast... Guck mal was oben rechts ersichtlich ist...
[re:1] feinstein am 10.05. 18:06
+ -
@Chuuei: Wenn du einmal auf das Originalbild auf Dr. Windows schaust, dann ist auf dem unteren Eintrag kein Kreuz. Das macht eigentlich keinen Sinn, wenn man den Eintrag löschen will.
Gib mir doch einmal den Link zu den Datenschutzbestimmungen, ich lese mir das gerne durch.
[o6] xenon-light am 10.05. 16:04
+1 -
Wie soll eine Zwischenablage auch erkennen, was Passwort ist und was nicht? Ein Passwort ist auch nur ein String und wird genauso behandelt. Im Browser oder anderen Programmen werden dafür extra Passwortfelder genutzt aber in der Zwischenablage wird lediglich die Zeichenfolge kopiert.
[o7] mh0001 am 10.05. 17:44
+2 -
Ja logisch, wie soll das auch sonst gehen? :D Wenn ich das woanders einfügen will, muss es die Zwischenablage ja im Klartext haben. Wenn es nicht in Klarform sondern verhackstückelt in der Zwischenablage wäre, würde mir das zum irgendwo Einfügen ja herzlich wenig bringen.

Auch ohne Cloud-Zwischenablage, so ganz lokal auf dem Gerät, liegen die Daten, die man mit STRG+C kopiert als Klartext im Speicher, und jedes Programm kann die Zwischenablage einlesen und für was es auch will verwursten. Wenn man darin ein Sicherheitsrisiko sehen will, dann liegt es bereits HIER und JETZT vor.
Die Cloud-Zwischenablage soll lediglich einen verschlüsselten und somit sicheren Kanal auf andere eigene Geräte bereitstellen. Ist der Kanal sicher, macht das überhaupt nichts. Man aktiviert die Cloud-Zwischenablage ja nur auf den eigenen Geräten, bei denen man sicher gestellt hat, dass man auch nur selber darauf Zugriff hat.

Ob ich dann das Passwort im Klartext aus der Zwischenablage nur auf dem lokalen Gerät einsehen und irgendwo (z.B. in Word) reinkopieren kann, oder auf meinem anderen Gerät, spielt dann keine Rolle mehr.
Wichtig ist nur, dass ausgeschlossen wird, dass das Passwort unterwegs abgegriffen wird.
[re:1] TiKu am 10.05. 19:41
+1 -
@mh0001: "Wenn ich das woanders einfügen will, muss es die Zwischenablage ja im Klartext haben. Wenn es nicht in Klarform sondern verhackstückelt in der Zwischenablage wäre, würde mir das zum irgendwo Einfügen ja herzlich wenig bringen."
Man könnte es verschlüsseln und beim Einfügen wieder entschlüsseln.

"Wenn man darin ein Sicherheitsrisiko sehen will, dann liegt es bereits HIER und JETZT vor."
Jein. Es macht einen großen Unterschied, ob die böswillige Software auf dem lokalen System laufen muss, oder ob sich Transportwege und fremdkontrollierte Systeme angreifen lassen, um an die Informationen zu gelangen.
[re:1] mh0001 am 10.05. 21:08
+ -
@TiKu: "Man könnte es verschlüsseln und beim Einfügen wieder entschlüsseln." - Das macht aber keinen Sinn, es sei denn du fragst beim Kopieren und Einfügen jeweils vom Nutzer das Verschlüsselungspasswort ab. Damit das automatisch passiert müsste der Key selber dafür im Speicher liegen - unverschlüsselt natürlich, sonst könnte er ja nicht benutzt werden. Und wenn das Einfügen eine Entschlüsselung automatisch auslöst, bringt das rein gar nix, denn Sachen aus der Zwischenablage einfügen kann jedes Programm mit Nutzerrechten.
Der Transport von einem PC zum anderen erfolgt ja auch verschlüsselt, indem die Keys auf den beiden PCs lokal vorhanden sind -> unterwegs im Internet sind nur verschlüsselte Daten ohne Möglichkeit, sie zu entschlüsseln.

Und vor dem Nutzer selber, der sich den Inhalt der Zwischenablage anzeigen lassen will, braucht man das Passwort ja nun wirklich nicht zu verstecken.
[re:1] TiKu am 10.05. 21:27
+ -
@mh0001: "Das macht aber keinen Sinn, es sei denn du fragst beim Kopieren und Einfügen jeweils vom Nutzer das Verschlüsselungspasswort ab"
Es gibt kryptographische Verfahren, die das nicht benötigen und die auch keinen fest hinterlegten Schlüssel brauchen. Stichwort OTP.
"Und wenn das Einfügen eine Entschlüsselung automatisch auslöst, bringt das rein gar nix, denn Sachen aus der Zwischenablage einfügen kann jedes Programm mit Nutzerrechten."
Nun, die zusätzliche Unsicherheit der Cloud-Zwischenablage kommt durch den nötigen Transportweg und durch die Speicherung in der Cloud. Hier muss der Benutzer darauf vertrauen, dass Microsoft eine sichere Lösung implementiert hat. Er muss zudem abwägen, ob ihm der geringfügige Komfortgewinn das zusätzliche Risiko wert ist.
Die zusätzliche Unsicherheit der Clipboard-Historie kommt dadurch, dass Passwörter auch Stunden später noch abgerufen werden können, auch wenn man bereits etwas anderes in die Zwischenablage eingefügt hat. Die Unsicherheit durch auf dem Quell-/Zielsystem laufende Schadsoftware ist bereits heute gegeben und ändert sich nicht. Die neuen Features schaffen aber neue Sicherheitsrisiken.
[o8] 1ST1 am 10.05. 23:07
+ -
Wenn das Clipboard schon durch die Cloud gejagt wird, dann bitte komplett verschlüsselt. Ansonsten muss das per Default komplett ausgeschaltet sein.
[re:1] TiKu am 10.05. 23:31
+ -
@1ST1: Äh nein. Es muss per Default komplett ausgeschaltet sein. Punkt. Dieses ewige opt-out statt opt-in ist der Hauptgrund, warum Microsoft für die Datensammelei bei Windows 10 soviel Gegenwind bekommt.
[o9] hanswurschtl am 11.05. 09:12
+ -
"Zwischen"-Ablage und (dauerhafte) Cloud-Speicherung widersprechen sich eigentlich grundsätzlich. Außerdem: Wem und in welchen Situationen soll so ein Feature eigentlich helfen? Völlig sinnfrei und überflüssige Cloud-Featuritis in meinen Augen.
☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2024 WinFuture