Ich habe gerade den Update auf 1.4 der Nitrokey app ausprobiert.
Obwohl der Passwordsafe das in die Zwischenablage kopierte Passwort nur (wie ich das eingestellt habe) nur 20 Sekunden in der Ablage halten sollte, wird das Password dort dauerhaft gespeichert. Sehr einfach in einer virtuellen Maschine zu überprüfen:
Plasma 5, standard repos Leap 15.1.
Das Löschen aus der Ablage ist essentiell weil natürlich der Safe dazu gebraucht wird, um e.g. mobil in einem Internet Cafe auf einen Site zuzugeifen. Da sollten zwei Dinge gewährleistet sein:
Länge (viel zu kurz)
aber vor allem “vergessen” nach der eingestellten Zeit. Denn leider haben nicht alle Sites die U2F. Also bin ich gezwungen oder schlechte Passwörter zu verwenden oder den Password Safe. Aber wenn die Zwischenablage nicht korrekt von der App verwaltet werden kann sollte man eher gar keinen Passwordsafe implementieren. Denn der User wird so, ohne es zu wissen, sein Passwort in der Zwischenablage “vergessen”. Und damit den Schutz des Kontos aushebeln.
Ich habe auch noch einen anderen Bug gefunden (Sichtbarkeit des “safe” buttons"). Gibt es einen Bugzilla für Nitrokey, oder öffnet man bugs hier?
Hi!
- Was clearing the clipboard working for you in the previous versions E.g. v1.3.2? Perhaps clearing the clipboard on the application exit is missing, but I am almost sure it was added already.
- I do not see any issues with clipboard at the moment at: https://github.com/Nitrokey/nitrokey-app/issues?q=is%3Aissue+is%3Aopen+clipboard
- Using PWS, or any other means at the internet cafe’s hardware is dangerous anyway, since one do not own the hardware, and almost surely there are some remote-view/control tooling installed. Even 2FA/FIDO U2F/FIDO2/mobile authorization might not protect in this case, due to possible MITM attack realized by the installed malware (or even by simply copying the cookie session after the successful authentication).
- You can create issues on project’s site: https://github.com/Nitrokey/nitrokey-app/issues. Feel free to register any bugs, and possible improvements. For general discussion about how to improve it, I propose to stay on the forum, but that’s not obligatory. We plan to work on the next release in the coming months.