Modelos de amenazas del administrador de contraseñas del teclado y del portapapeles

Sin definir un modelo de amenaza, es difícil comparar la efectividad. Claramente, ambos fallan ante el malware que se ejecuta en la computadora local. (Tanto los eventos del teclado como el portapapeles se pueden leer desde el malware).

Con Flash, es posible leer el contenido del portapapeles, por lo que hay una pequeña oportunidad allí donde se pueden filtrar las contraseñas. (Aunque JavaScript tiene acceso al portapapeles, no puede leer el contenido sin que el usuario seleccione pegar).

Al final del día, es probable que ninguno de los dos enfoques sea el factor decisivo en la seguridad de un administrador de contraseñas.

Esto, por supuesto, se basa en la opinión, porque no soy un desarrollador de KeePass, pero creo que la única razón por la que existe el otro método para ingresar una contraseña (es decir, la emulación del teclado) no tiene nada que ver con la amenaza modelos.

El objetivo principal de la emulación de teclado es más probable que supere las políticas empresariales obsoletas (o, en algunos casos, de inteligencia) que impiden el pegado de contraseñas (en violación directa de Directrices de NIST sobre contraseñas ). Aquí hay un ejemplo .

Si su banco, etcétera, acepta contraseñas del portapapeles, solo use eso, no se moleste.

Una cosa a considerar: hay muchas razones legítimas para que una aplicación solicite acceso al portapapeles, pero hay muchas menos razones legítimas para interceptar todas las entradas del teclado. Así que supongo que es más fácil pasar un rastreador del portapapeles a través de las exploraciones de malware ... incluso javascript puede acceder al portapapeles a veces (al menos después de pedirle permiso al usuario).