微信输入法的跨平台剪贴板无视密码管理器的“Clipboard Viewer Ignore”选项,存在密码泄露风险

2024-01-04 16:16:44 +08:00
cy18  cy18

我主要使用 KeepAss 和 Ditto 。

KeepAss 有个“Clipboard Viewer Ignore”选项,打开后复制密码管理器中的用户名跟密码时,Ditto 不会读取相应的数据,一定程度上保障了安全性。

刚测试了一下微信输入法的跨平台剪贴板功能,KeepAss 里面双击复制用户名或密码,然后用户名密码就直接被传输到手机上去了...

大家用其他密码管理器/剪贴板管理器的,不知道有没有这个问题?

3369 次点击
所在节点   信息安全  信息安全
29 条回复
nanvon
nanvon
2024-01-04 16:34:09 +08:00
bitwarden 也有这个情况,不过我需要这个特性,这样其他设备就不用安装 bitwarden 了。不过微信输入法没有把最近这一次粘贴内容写入到剪切板中,是不是就没有泄露的风险了?(不太懂这个)
Moeyua
Moeyua
2024-01-04 16:37:21 +08:00
KeepAss 也太乐了
Moeyua
Moeyua
2024-01-04 16:41:35 +08:00
说正经的,1password 似乎没有出现过类似的问题
Greenm
Greenm
2024-01-04 16:43:24 +08:00
我一直以为密码管理工具的使用者和微信输入法的使用者是不重合的用户群体,甚至是完全互斥的用户群体,原来还真有重合啊?

回到正题,1password 和 Ditto 不会出现你的这个问题,但是微信输入法+keeass(才发现你说的是 KeepAss)+Ditto 我不知道。
cy18
cy18
2024-01-04 16:43:50 +08:00
@Moeyua #3 密码管理器实现的应该是个类似君子协议的东西,具体读不读还是得看剪贴板管理器.
sky96111
sky96111
2024-01-04 16:46:05 +08:00
@Greenm 歪个楼,软件名是 KeePass ,我也喜欢和朋友们说成 KeepAss😂
Immortal
Immortal
2024-01-04 16:47:33 +08:00
我一直以为密码管理工具的使用者和微信输入法的使用者是不重合的用户群体,甚至是完全互斥的用户群体,原来还真有重合啊?
---
+1,用国内联网的输入法其实就要有这些心理准备了
cy18
cy18
2024-01-04 16:49:02 +08:00
@Greenm #4 并没有重合,我同事拿这个功能推荐我用微信输入法,我在他电脑上用 KeepAss 测试了一下,帮他解毒了
aitianci
aitianci
2024-01-04 16:49:19 +08:00
@Moeyua #2 ♂ Ass ♂ We ♂ Can ♂
solitude511
solitude511
2024-01-04 16:49:22 +08:00
看标题想说:啊?
看完内容想说:啊!
cairnechen
cairnechen
2024-01-04 16:59:59 +08:00
没太懂,你的意思是要微信主动去适配密码管理器的君子协议?这个君子协议是所有密码管理器都统一的吗?
cy18
cy18
2024-01-04 17:08:17 +08:00
@cairnechen #11 https://sourceforge.net/p/keepass/discussion/329220/thread/b957f63c/
具体细节我也不太清楚,涉及到一个 CF_CLIPBOARD_VIEWER_IGNORE 标志位之类的,期待大神解答
cy18
cy18
2024-01-04 17:10:15 +08:00
@cairnechen #11 http://www.clipboardextender.com/developing-clipboard-aware-programs-for-windows/ignoring-clipboard-updates-with-the-cf_clipboard_viewer_ignore-clipboard-format
好像是一种格式.发这个帖子就是想让大家测试一下其他密码管理器/剪贴板管理器是不是都支持这个功能.
vcn8yjOogEL
vcn8yjOogEL
2024-01-04 18:57:30 +08:00
@cairnechen #11 Android 和 iOS 支持让键盘进入无痕模式, 虽然只是君子协定但输入法至少也会装个样子, 复制的文本不会进剪贴板

桌面端就不清楚了
i979491586
i979491586
2024-01-04 19:10:26 +08:00
感谢提醒,但是既然都用国产输入法了 还在乎什么?
Autonomous
Autonomous
2024-01-04 22:05:25 +08:00
在我看来,使用微信输入法就等于把隐私上交
SenLief
SenLief
2024-01-04 22:30:19 +08:00
这个功能输入法未必会支持,其实我倒是觉得用微信输入法可以不让他联网。
SenLief
SenLief
2024-01-04 22:32:22 +08:00
另外有试过哪个输入法支持这个功能吗?
kenvix
2024-01-04 23:04:59 +08:00
...还真有人用联网的跨平台剪贴板啊
建议改用手机厂商的方案,一般是走本地热点或蓝牙做剪贴板同步,要安全很多
Donaldo
2024-01-04 23:15:50 +08:00
怎么测试呢,我用 bitwarden 和微信输入法,虽然我没有复制密码的需求(我只有 otp 是复制,密码都是直接填充或者看一眼自己输入),但也可以帮你试试,但好像在 chrome 插件内没找到这个设置。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1005859

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX