Soy un usuario de Lastpass y muchas veces pensé en cambiar al Administrador de credenciales, para la sincronización automática y una cierta comodidad con el entorno de Windows. Lo único que me preocupa es su seguridad. Escuché que es bastante fácil para alguien acceder a estas credenciales una vez que han obtenido acceso a su computadora, ¿es así?
¿Debo seguir con Lastpass y tal vez verificar en el futuro las posibles mejoras?
El Administrador de credenciales de Windows no es seguro. Es "seguro" en el nivel de la cuenta de usuario, lo que significa que cualquier proceso que el usuario ejecute y el propio usuario debe ser necesariamente confiable para que este sistema sea "seguro" con una cara seria.
La única forma semi segura de usar el Administrador de credenciales de Windows es almacenar los valores pre-hash, luego verificar esos hashes. Sin embargo, dado que cualquier proceso elevado que ejecute el usuario tiene capacidad de lectura / escritura completa en el almacén de credenciales de ese usuario, simplemente no se puede confiar en él.
Permite pensar en "seguro" en el sentido de bloquear una aplicación localmente. Tomemos el ejemplo de un filtro de contenido que bloquea la página de configuración para evitar que los niños habiliten el contenido para adultos, usando el Administrador de credenciales para almacenar credenciales personalizadas. El mismo usuario, tratando de evitar esto, puede hacerlo fácilmente. Un usuario puede visitar el Administrador de credenciales en el Panel de control y, aunque los valores aparecen en asteriscos, (*****), simplemente pueden borrar el valor y reemplazarlo. Elimine su hash, póngalos en su propia cuenta.
Lo que es aún más tonto es que el Panel de control mostrará asteriscos, pero si usa un código para acceder a las API aplicables, puede obtener los valores en texto sin formato. Por lo tanto, las contraseñas no son seguras, los hashes y como se verifica para bloquear algo no son seguros. No es seguro, es un pedazo de basura y he luchado durante mucho tiempo para entender su utilidad, excepto que Microsoft aparentemente tiene copias de texto simple de todas sus contraseñas que pueden vender a la NSA.
Nota
Me doy cuenta de que hay medidas que puede tomar para cifrar los contenidos antes de almacenarlos, mezclarlos correctamente, etc., pero mi crítica aún se aplica porque hacer estas cosas adicionales es crear seguridad, no el Administrador de credenciales de Windows. Mi problema con el Administrador de credenciales de Windows es que anuncia que su uso a través de la GUI proporcionada o la API es segura.
Lea otras preguntas en las etiquetas windows credentials