consideração de segurança ao passar senhas na linha de comando no windows

Navegue suas respostas
2

Aplica-se a clientes do Windows, como o Vista, 7, 8 Quais são as considerações de segurança ao executar uma ferramenta que tenha um parâmetro passwort de um URL no keepass.

É completamente idiota fazê-lo ou é "seguro o suficiente" se a sua máquina estiver razoavelmente segura (virusscanner atualizado com detecção de trojan etc, firewall local, hdd criptografado).

A razão é, eu gostaria de manter credenciais para qualquer tipo de sistema no keepass e abrir a conexão executando o URL para que eu pudesse conectar por exemplo a um diretório LDAP com ldapadmin.exe, SSH via Putty, WinSCP com um addon para ele e também o Windows Remotedesktop conexões através de uma ferramenta de linha de comando especial.

No entanto, estou cansado e gostaria de poder argumentar contra colegas de trabalho conscientes da segurança ou com a equipe de segurança de TI.

Então, em resumo: quão seguro ou inseguro é rodar as ferramentas do Windows a partir do KeePass passando a senha como um parâmetro de linha de comando. Autotype é muitas vezes tedioso e se realmente é mais seguro eu duvido, pois é algo que passa o qeue evento do Windows e, portanto, potencialmente mais fácil de agarrar.

Obrigado pelo seu tempo gasto na elaboração de uma resposta: -).

    
por Dominique Vocat 02.01.2014 / 17:22

1 resposta

0

Vamos considerar o pior caso: senhas usadas localmente no seu sistema.

Por que o pior caso?

  • Os parâmetros da linha de comando podem ser registrados (localmente).
  • O aplicativo que você está usando pode armazenar / armazenar em cache as senhas.

(posso estar perdendo mais pontos aqui)

A maioria dos malwares genéricos não está procurando senhas no seu sistema, então você não precisa se preocupar com isso.

O que você precisa considerar:

  1. Acesso físico - A menos que você tenha criptografia de disco completa ou armazene os scripts em formato / containers criptografados, qualquer pessoa com acesso físico à máquina poderá colocá-la nas mãos (depois de desativá-la). Se estiver usando criptografia, ela agora cai no elo mais fraco, ou seja, as credenciais da conta do usuário na máquina.
  2. Malware direcionado / comprometimento de máquina - No caso de uma violação de rede (onde sua máquina está comprometida), você facilitou para o adversário se conectar a mais computadores na rede, dependendo do acesso e privilégios que suas contas lhes concedem.
  3. Registro em log - Se os parâmetros da linha de comando das ferramentas que você executa forem registrados (no servidor remoto) e o servidor de logs for comprometido primeiro, você terá fornecido um passe livre novamente neste caso. Isso, no entanto, é uma falha da segurança do servidor de log, mas uma outra maneira pela qual as senhas em sua máquina podem ser problemáticas.

Em suma, você está sacrificando um pouco de segurança por alguma conveniência aqui.

Dependendo do quanto a TI se preocupa com a segurança, eles podem ou não concordar com a ideia.

Se você eliminar as condições de pior caso, a única preocupação (posso pensar) é registrar.

    
por 03.01.2014 / 16:35

Tags

Quais são as diferenças entre servidor e nome de domínio? Gerenciador de janelas do Linux Mint 14 está quebrado