5Jul
Vienas iš patogiausių įrankių naršyklių pasiūlymų yra galimybė išsaugoti ir automatiškai užpildyti slaptažodžius prisijungimo formomis. Kadangi daugybei svetainių reikalingos paskyros, ir gerai žinoma( arba turėtų būti bent jau), kad naudojantis bendrinamu slaptažodžiu yra didelis "no-no", slaptažodžių tvarkyklė yra beveik būtina.
Taigi, jei esate IE vartotojas ir atsakote "taip", kad naršyklė galėtų prisiminti jūsų slaptažodį, ar ši informacija yra saugi?
Kur jie išgelbėti?
Nuo Internet Explorer 7 slaptažodis saugomas sistemos registre( KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) ir užfiksuojamas prieš "Windows" vartotojo prisijungimo slaptumą naudojant duomenų apsaugos API, kuris naudoja "Triple DES" šifravimą.
Kiek saugūs yra šie duomenys?
Šio rašymo metu "Triple DES" praktiškai nesugriauna per grubus jėgos metodus. Tačiau iš tikrųjų nėra jokios būtinybės šifravimą grubiai įjungti, kai tik esate prisijungę prie "Windows" paskyros, kurioje saugomi jūsų slaptažodžio duomenys, nes "Windows" daro prielaidą, kad kai prisijungsite, programoms bus saugu pasiekti šiuos duomenis. Dėl to, kad IE nesinaudoja pagrindiniu slaptažodžiu( pvz., Ką siūlo "Firefox"), kad apsaugotų išsaugotus slaptažodžius, atitinkamas "Windows" paskyros slaptažodis yra "Triple DES" iššifravimo raktas.
Paprasčiau tariant, jei galite prisijungti prie "Windows" naudodami paskyrą ir slaptažodį, galite matyti išsaugotus naršyklės slaptažodžius. Naudodami laisvai prieinamą programinę įrangą, tokią kaip NirSoft "IE PassView", galite peržiūrėti ir eksportuoti kiekvieną išsaugotą "IE" slaptažodį.
Ar kenkėjiška programa gali ją pasiekti?
Pamatę, kaip lengvai galima pasiekti šiuos duomenis, kitas logiškas klausimas yra tai, ar kenksminga programinė įranga gali lengvai pasiekti šiuos duomenis. Aš nesu kenkėjiškų programų kūrėjas, bet nematau priežasčių, dėl kurių negalėjau. Jei nuskaitysiu "IE PassView" įrankį naudodamas "Virus Total", galite pamatyti, kad 55% jų naudojamų skaitytuvų yra kenkėjiška programa( viena iš jų yra "Security Essentials").
Nors mūsų atveju rezultatas yra klaidingai teigiamas, tai rodo, kad kenkėjiškos programinės įrangos dalis gali atidaryti šiuos duomenis netgi tada, kai sistemoje veikia antivirusas. Be to, kadangi šifruojami duomenys yra vartotojo specifiniai, UAC užklausa nebus paleista taikant bandymą pasiekti šiuos duomenis. Prieš galvojome, kad tai OS trūkumas, tai iš tiesų yra tai, kaip turėtų būti kitaip. Kitaip tariant, "IE" ir daugybė kitų "Windows" programų, kurios naudoja saugomą saugyklą, kiekvieną kartą, kai jos bus atidarytos, suaktyvins UAC paskubą.
Ką daryti, jei mano kompiuteris pavogtas?
Paprastas atsakymas yra tai, kad šie duomenys yra tokie pat saugūs kaip jūsų "Windows" paskyros slaptažodis. Kaip parodyta aukščiau, prisijungdami prie paskyros naudodami atitinkamą slaptažodį, visi šie duomenys yra lengvai prieinami. Jei nenaudojate jokio slaptažodžio, jūs neturite jokios apsaugos.
Norėdami atlikti dar vieną žingsnį, aš iš naujo nustatiau paskyros slaptažodį, norėdamas pamatyti, kas atsitiks, kai slaptažodis buvo iš esmės pakeistas ne "Windows" sistemoje. Po atstatymo aš išsaugoju naują "Gmail" adreso slaptažodį( blah @) ir paleisdavau "IE PassView".Galėjau pamatyti ankstesnį vartotojo vardą( myemail @), kuris buvo išsaugotas prieš iš naujo nustatant slaptažodį, bet dėl to, kad paskyros slaptažodžiai( ty "pagrindinis slaptažodis"), naudojami duomenims išsaugoti, yra skirtingi, jis negalėjo iššifruoti IEslaptažodis išsaugotas pagal ankstesnį "Windows" paskyros slaptažodį.Tai tikrai geras dalykas.
Išvada
Dienų pabaigoje jūsų IE saugomų slaptažodžių saugumas priklauso nuo vartotojo:
- Naudokite labai tvirtą "Windows" paskyros slaptažodį.Turėkite omenyje, yra ir paslaugų, kurios gali iššifruoti "Windows" slaptažodžius. Jei kas nors gauna "Windows" paskyros slaptažodį, tada jis gali pasiekti jūsų išsaugotus "IE" slaptažodžius.
- Apsaugokite nuo kenkėjiškos programos. Jei komunalinės paslaugos gali lengvai pasiekti savo įrašytus slaptažodžius, kodėl negali būti kenkėjiška programa?
- Išsaugokite slaptažodžius slaptažodžių valdymo sistemoje, pvz., "KeePass".Žinoma, jūs prarasite patogumą, kad naršyklė automatiškai užpildytų jūsų slaptažodžius.
- Naudokite trečiosios šalies programinę įrangą, kuri integruojama su IE ir naudoja pagrindinį slaptažodį, kad galėtumėte tvarkyti savo slaptažodžius.
- Šifruokite visą kietąjį diską naudodami "TrueCrypt".Tai yra visiškai neprivaloma ir itin saugi, tačiau jei kas nors negali iššifruoti jūsų disko, jie tikrai gali iš jo atsikratyti.
Žinoma, abu šie dalykai savaime suprantama, tačiau tai tik patvirtina, kad svarbu imtis priemonių, kad jūsų sistema būtų saugi.
Atsisiųskite IE PassView iš NirSoft