Anzeige
Anzeige

Am Puls von Microsoft

Anzeige

Zwischenablage-Verlauf in Windows 10 zeigt Passwörter im Klartext an

DrWindows

DrWindows

Redaktion
Am Mittwoch hat Microsoft mit der Build 17666 eine neue Vorabversion des Redstone 5 Updates für Insider im Fast Ring veröffentlicht. Sie enthält viele neue Funktionen unter anderem auch das lange erwartete Cloud-Clipboard, das später mal plattformübergreifend funktionieren soll, für...

Klicke hier, um den Artikel zu lesen
 
Anzeige
Clickbait hin oder her. Microsoft muss nur klar und transparent darauf hinweisen, das Kennwörter im Verlauf unter umständen einsehbar sind.

Mögliche Lösungen? Windows erkennt ja sehr wohl, was zum Beispiel ein Passwort-Feld in einem Browser ist. Man könnte der neuen Zwischenablage eine Intelligenz verpassen, so dass sie Einträge automatisch aus dem Verlauf löscht, sobald erkannt wird, dass sie in ein Passwort-Feld eingefügt wurden.
Zum Vergrößern anklicken....

Ich fände es sinnvoller, wenn die Funktion derartiges Erkennt und Copy+Paste in lokaler Ebene verbleibt. Komfort und Sicherheit bekommt man schwer in Einklang, da fände ich es besser wenn Entscheidungen auch mal konsequent pro Sicherheit gefällt werden.
 
Das gleiche könnte man auch zu Android sagen, nutze auf meinem Sony Xperia XZ mit Oreo auch Enpass… wenn ich ein Passwort kopiere, zeigt mir SwiftKey in der Wortvorschlagleiste eben diesen an... :rolleyes:
 
Wo ist das Sicherheitsproblem, wenn diese Zwischenablage nur auf den eigenen Geräten genutzt wird? Die Übertragung zwischen den Geräten und in die Cloud sollte wohl verschlüsselt sein. Dann wäre das kaum ein Unterschied zu einem Passwort-Manager mit Cloudzugang.

Ist ein Gerät infiziert, dürfte ein Zwischenablageverlauf mit nicht zugeordneten Passwörtern das kleinste Problem sein.
 
Hier wäre ein Optin oder Optout für Anwendungen eine gute Lösung. Somit könnte man Passwortspeicher einfach per Optout von der Nutzung ausklammern. Sollte nicht so schwer umzusetzen sein.
 
Wo ist das Sicherheitsproblem, wenn diese Zwischenablage nur auf den eigenen Geräten genutzt wird?
Zum Vergrößern anklicken....
Das Problem besteht darin, das Passwörter in Klartext zu sehen sind. Damit wird jedes "unsichtbar machen" ausgehebelt.


Ist ein Gerät infiziert, dürfte ein Zwischenablageverlauf mit nicht zugeordneten Passwörtern das kleinste Problem sein.
Zum Vergrößern anklicken....

Du denkst hier schon zu weit. Der Klartext-Verlauf ist bereits das eigentliche Problem wenn Zugang durch befugte oder unbefugte Dritte besteht. Und in Zusammenhang mit üblichen Boardmittel möglicherweise relativ einfach nachvollziehbar.
Timline in Zusammenhang mit Clipboardverlauf ist dann ne tolle Kombi. Das dürfte jeden erfreuen, der im Browser von speichern und Autofill aus Sicherheitsgründen keine Gebrauch macht.
 
Das Problem besteht darin, das Passwörter in Klartext zu sehen sind. Damit wird jedes "unsichtbar machen" ausgehebelt.
Zum Vergrößern anklicken....
Das trifft aber jedes derartige Tool sowie jede Software, die wie ein Keylogger o.ä. arbeitet. SwiftKey wurde hier ja schon genannt. Es dürfte kaum möglich sein, Passwörter sicher zu identifizieren, so daß die immer ausgeblendet werden.

Der Klartext-Verlauf ist bereits das eigentliche Problem wenn Zugang durch befugte oder unbefugte Dritte besteht.
Zum Vergrößern anklicken....
Das ist auch ein anderes Problem. Wer aus Gründen des Komforts Sicherheit aufgibt, muß damit leben, daß unbefugte Dritte an das Gerät kommen. In solchen Fällen sind schon aktive Logins in Browsern und Apps ein Problem.
 
ich bin echt erstaunt, dass es dieses Thema überhaupt gibt.
Unter allen Dingen/Problemen, die es bei so einer Funktion zu lösen gilt, dürfte dieses doch wirklich ganz oben in einer Pflichtenbeschreibung stehen.

Ich werde die Cloudzuwischenablage genauso wie Timeline zwar ohnehin nicht nutzen, aber für die anderen User, die darauf vertrauen ist derartiges ein schlechtes Zeichen.

BTW: ich finde ja Win10 recht gut, selbst die Performance geht mittlerweile wieder, aber MS bringt in letzter Zeit nur noch Funktionen raus, die ich nach einem Setup gleich wieder abstellen muss. Das wird mittlerweile schon richtig Arbeit.
So sollte ein System eigentlich nicht sein.
Ich würde mir ein Setup wünschen: Während des Setup Prozesses wird man einmal gefragt: Wie möchten sie arbeiten: Extrem offen oder MS angepasst, extrem restriktiv.
Und dann passt man (in meinem Fall bei Wahl extrem restriktiv) die Stellen an, in denen man sich öffnen möchte.
 
Zuletzt bearbeitet:
Irgendwie schon etwas merkwürdig. Viele schreien Cloud und Scheiß auf Datenschutz / Privatsphäre und dann sind zu 9x% genau die gleichen Leute so verwundert, wenn sie die Realität einholt, was das eigentlich bedeutet.

In Anbetracht dessen, dass die Masse sowieso überall das gleiche PW verwendet oder auf dem Desktop eine Datei "Passwörter.txt" hat, da macht eine Cloud-Zwischenablage nun auch nicht wirklich mehr Probleme.

Die Zwischenablage macht genau das, was sie soll, so wie Facebook mit den Daten genau das gemacht hat, was in den Nutzungsbestimmungen immer angegeben wurde ("Wir dürfen alles").
 
wow, welch neue Erkenntnis! Zwischenablage speichert im Klartext.

Die hochgepriesene AI, oder doch nur die menschliche Intelligenz? mal wieder aufs Peinlichste vorgeführt.
Bzw. Shitstorm gewollt nur um auch jedes Stündchen im Blickpunkt zu stehen?

Herr, usw. laß endlich die mit funktionierende brain.exe mal zum Zug kommen.
 
Pixelschubse schrieb:
wow, welch neue Erkenntnis! Zwischenablage speichert im Klartext.

Die hochgepriesene AI, oder doch nur die menschliche Intelligenz? mal wieder aufs Peinlichste vorgeführt.
Bzw. Shitstorm gewollt nur um auch jedes Stündchen im Blickpunkt zu stehen?

Herr, usw. laß endlich die mit funktionierende brain.exe mal zum Zug kommen.
Zum Vergrößern anklicken....

+1
 
Pixelschubse schrieb:
wow, welch neue Erkenntnis! Zwischenablage speichert im Klartext.

Die hochgepriesene AI, oder doch nur die menschliche Intelligenz? mal wieder aufs Peinlichste vorgeführt.
Bzw. Shitstorm gewollt nur um auch jedes Stündchen im Blickpunkt zu stehen?

Herr, usw. laß endlich die mit funktionierende brain.exe mal zum Zug kommen.
Zum Vergrößern anklicken....

Ja... Wundere mich auch gerade, das die Welt dachte, dass eine Felddeklaration auch eine Verschlüsselung sein sollte.
Jeder Text in der Zwischenablage wird als String im original gespeichert. Sternchen und punkte in einem feld sind nur eine UI Anpassung und gelten nur in diesem feld.
Genau wie mit NTFS verschlüsselte dateien im zwischenspeicher nicht mehr verschlüsselt sind.

Als abhilfe würde ich texte aus als Passwortfeld deklarierten Feldern erst gar nicht in den Cloud speicher zulassen.

Schönen Feiertag....
 
Das eine Zwischenablage das transportiert was man dort hineinkopiert, sollte auch den größten Idioten klar sein. Trotzdem wird es wieder so Einige geben die feststellen, dass auch Passworte im Klartext drin stehen und einen Shitstorm lostreten. MS sollte sich also überlegen, dass man das Kopieren von Passworten erst gar nicht zulässt. Wenn ein Feld also als Passwortfeld erkannt wird, sprich die Anzeige ist anders als der Inhalt (Sofern das überhaupt in jedem Fall erkennbar ist), sollte das Kopieren mit einem Warnhinweis abgelehnt werden.
 
Anstelle "Intelligenz" bzw. reinen Sachverstand bereits zu Beginn einzuplanen wird bei Microsoft (aus Dummheit oder Verzweiflung?) jeder "Wimpernschlag" der Öffentlichkeit unterbreitet.

Wenn sich dann - oh Wunder! - herausstellt, daß die auf dem Whiteboard so phantastisch präsentable Idee doch mehr abfordert, ist der Gang der Dinge wie bei Microsoft schon erlebt - eine vorhersehbare Totgeburt.

Für den Consumer hängt sich Microsoft einfach nicht mehr ins Zeug.
 
_Sabine_ schrieb:
In Anbetracht dessen, dass die Masse sowieso überall das gleiche PW verwendet oder auf dem Desktop eine Datei "Passwörter.txt" hat, da macht eine Cloud-Zwischenablage nun auch nicht wirklich mehr Probleme.
Zum Vergrößern anklicken....
Das mit dem Massen lassen wir mal besser.....

Ich glaube einigen ist die eigentliche Problematik dahinter nicht so ganz bewusst. Cloud-Clibboard soll ein geräteübergreifendes Arbeiten erleichtern. Eine, im Grunde genommen, praktische Funktion.
Natürlich macht diese Funktion genau das, was sie machen soll. NUR! das reicht in diesem Fall nicht aus, wenn ein Verlauf generiert wird. Hier müssen wirksame Schutzmechanismen her, damit dieses Tool auch wirklich genutzt werden kann. Ansonsten nützen die ganze Passwortmanager so rein gar nichts bzw nur noch bedingt.
Sinnvoller wäre es wohl, wenn Cloud-Clipboard eine eigenständige Applikation wäre und die "alte" Zwischenablage nicht ersetzt. So das beides verwendet werden kann. Das scheint aber nicht der Fall zu sein - die neue Zwischenablage soll wohl die Alte ersetzten. Man hat zwar die Wahl, aber die Menschen entscheiden sich eher gerne für den Komfort.
 
Leider ist das mit den Passwortfeldern nicht immer so einfach. Gerade Leute, die sich 'sichere' Passwörter von Programmen generieren lassen, kommen ohne die Zwischenablage kaum aus, und der Generator und der Manager schreiben sie rein. man braucht kein Feld, um das zu tun. Erst beim Eintrag ins Passwortfeld ließe sich das erkennen.
Wie so vieles in der schnelllebigen EDV (sorry, ich bin 63) werden Ideen aufgegriffen und noch bevor sie in allen Richtungen durchdacht wurden, implementiert. Die schädlichen fliegen nach einiger Zeit wieder 'raus. Das ist Evolution.
 
Wenn ich also die Cloud-Zwischenablage sowie die Synchronisation aktiviere und die Zwischenablage anschließend mit Passwörtern füttere, dann funktioniert im Grunde eigentlich alles nur genau so, wie ich das haben will. Ich bezweifle allerdings, dass sich das plausibel verkaufen lässt.
Zum Vergrößern anklicken....
Genau das. Ich musste den Text zwei Mal lesen...
Ebenso wie ich Programme gut heisse, die die Zwischenablage überwachen, hat auch Vorteile.

Wer sich grad über Spionage und Browser aufregt, hat seinen Browser nicht verstanden. Der trägt auch Aluhüte und meldet sich stets per copy&paste mit Name/Passwort an, statt es seinem Browser zu überlassen, Stichwort: Passwortverwaltung.

Inwiefern Drittsoftware betroffen ist, wie die Passwörter in den Browser überträgt, kann ich nichts sagen. Das solltet ihr die Hersteller fragen.
 
Das Erkennen von Passwortfeldern in Browsern oder anderen Anwendungen würde nicht viel nützen. Denn man kopiert ja eher selten ein Passwort aus solch einem Feld heraus. Sondern eher umgekehrt aus irgendwelchen Notizen in irgendeiner Anwendung/App. Allenfalls würde die Erkennung eines Passwortmanagers nützen. Doch die gibt es wie Sand am Meer. Ohne eine spezielle API, die von solchen Passwortmanagern zwingend implementiert werden müsste, wäre da nicht viel zu machen in Sachen Herkunft eines zu kopieren Passworts. Außer natürlich mit einer Datenbank für Kopierquellen, in der Regel eben Passwortmanager. Aber so eine Datenbank wäre wohl nur tauglich, wenn sie ständig aktualisiert online abgerufen werden könnte.
 
Ich sage mal das könnte MS sicher mit ner API für PW Manager lösen die dieser Cloud Zwischenablage eben sagt, dass das ein Passwort ist das nach ner minute oder zwei wieder gelöscht werden sollte, wie sie es bei der normalen Zwischenablage ja auch tun. Wird es das geben? Vermutlich nicht...MS ist hier nicht der einzige, an sowas denkt irgendwie keiner. Bis es was eleganteres gibt muss man halt wohl dran denken die PWs selbst zu löschen. Ist bei Samsung Handys nicht anders. Die Zwischenablage dort ist zwar nicht gesynct aber man muss schon dran denken die mal zu leeren wenn da die ganzen PWs drin sind.
 
Schwierig zu lösen.
Vielleicht per Blacklist, aber das wird auch keine 100% Lösung sein.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Anzeige
Oben