Otomatik doldurulan şifreler keylogger ile çalınabilir mi?

Dostlar merhaba, şifre yöneticisi nedir araştırayım mantıklıysa kullanayım dedim. Aklıma bir şey takıldı, bu şifre yöneticisinde bütün sitelere girdiğimiz şifreler tutuluyor harika. Peki, biz bu sitelere girerken otomatik doldur ile kullanıcı adı ve şifrelerimizi dolduruyor bu şifre yöneticimiz. Keylogger yemişsek, bunlar keylogger tarafından görülüyor mu? Veya başka bir şekilde çalınma riski var mıdır? Ayrıca Bitwarden iyi midir onu gördüm ücretsiz ve güzel gözüküyor.

Bildiğim kadarıyla virüs yediysen otomatik doldururken değil şifreyi kopyala dersen panoya kopyalandığı sırada gittiğini okumuştum. Sen yine de virüs girdiğini düşündüğün bir bilgisayar da kullanma. Bitwarden iyidir uzun zamandır kullanıyorum daha yeni ücretli sürümünü satın aldım destek amaçlı. Açık kaynaklı başka bir alternatif Protonpass öneririm güzeldir.

2 tip pass vault çalışma prensibi var en temelde.

Bu iki yöntem arasında avantaj ve dezavantaj anlamında farklılıklar var elbette. Ancak her şeyden önce şu gerçeğin farkında olarak yola koyulman gerekli "Bir siteye girebilmek için parolayı bilmene veya parolayı kopyala yapıştır yapmana gerek yoktur".

Yani parolayı görmeden de ilgili web sayfasına doğrudan veri yerleştirebilen çözümler mevcut. Aşağıya örnek bir video bırakıyorum senin için.

Bu içeriği görüntülemek için üçüncü taraf çerezlerini yerleştirmek için izninize ihtiyacımız olacak.
Daha detaylı bilgi için, çerezler sayfamıza bakınız.

Üçüncü taraf çerezlerini kabul et

Şayet Browser Extension kullanıyorsan, parolayı kopyala - yapıştır yapmana gerek kalmaksızın parolayı yedirebiliyorsan web sayfasına, nispeten güvenli olduğunu söyleyebilirim. Elbette bazı zafiyet durumlarında parolanın web tarayıcısı üzerinden de çalınması mümkün olabiliyor lakin bunun için biraz daha ileri seviye hakimiyet gerekiyor hedef sistem üzerinde. Yani nispeten güvende olduğunu söyleyebilirim bu senaryoda.

Ajan destekli çalışan çözümlerde ise özellikle clipboard kontrol mekanizmaları gelişmiş olduğu için kolay kolay o yöntem ile parola çalmak mümkün olmayacaktır.
Özetle parolayı görmeden - parolayı bilmeden giriş yapabiliyor olduğun sürece daha ziyade güvende olacaksındır.

Sana farklı bir bakış açısı daha aktarayım, parolaların hareketsiz kalması / resetlenmemesi de zafiyet kaynaklarının yapı taşlarından biridir. Bunu engellemek için parolaları düzenli olarak resetlemek gerekir tahmin edeceğin üzere. Lakin işte tam bu noktada ; parolaları düzenli olarak resetleyebilmek ve kopyala yapıştır yapmadan login olabilmek için de "Parolayı görmeden giriş yapabilme" özelliğine sahip olman gerekir. Bunların hepsi birbirini tamamlayan şeyler.

Eh tabi basic authentication yapmayı başardığın senaryoda seni koruyabilecek sertifika doğrulama veya biyometrik doğrulama veya kayıt gerektiren farklı doğrulama metotları ile kendini daha da güvene alabilirsin. Dünya artık passwordless authentication metotlarına dönmeye başlıyor. Tercih edilecek doğrulama metotlarının bile farklı kullanım senaryolarında çok farklı etkileri var. Genel bir fikir sunmak istedim.