5Jul
Jednou z nejvhodnějších nabídek prohlížečů nástrojů je možnost ukládat a automaticky předběžně vyplnit hesla na přihlašovacích formulářích. Protože tolik webů vyžaduje účty a je dobře známo( nebo by mělo být přinejmenším), že pomocí sdíleného hesla je velký no-no, správce hesel je téměř zásadní.
Takže pokud jste uživatel IE a odpověděl "ano", aby mohl prohlížeč zapamatovat vaše heslo, jak bezpečná je tato informace?
Kde jsou uloženy?
Počínaje aplikací Internet Explorer 7 je heslo uloženo v registru systému( KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) a je zašifrováno proti přihlašovacímu heslu uživatele systému Windows pomocí rozhraní API pro ochranu dat, které používá šifrování Triple DES.
Jak bezpečné jsou tyto údaje?
V době tohoto psaní je Triple DES prakticky nerozbitné metodami hrubou silou. Ovšem v případě, že jste přihlášeni do účtu systému Windows, kde jsou uložena hesla, není skutečně potřeba šikovnou sílu, protože systém Windows předpokládá, že po přihlášení je pro aplikace bezpečné pro přístup k těmto datům. V důsledku toho, že IE nepoužívá hlavní heslo( například to, co nabízí Firefox) pro ochranu uložených hesel, je příslušným heslem účtu Windows kód Triple DES dešifrování.
Jednoduše řečeno, pokud se můžete přihlásit do systému Windows pomocí účtu a hesla, můžete vidět uložená hesla prohlížeče. Pomocí volně dostupného nástroje, jako je IE PassView aplikace NirSoft, můžete prohlížet a exportovat všechna uložená IE heslo.
Takže může mít malware přístup k tomuto?
Jakmile je vidět, jak snadné je dostat se k těmto datům, další logickou otázkou je, že malware lze snadno dostat k těmto datům. Nejsem vývojář škodlivého softwaru, ale nevidím žádný důvod, proč by to nemohl. Pokud skenuji nástroj IE PassView pomocí programu Virus Total, můžete vidět, že 55% skenerů, které používají, zjistí, že je to malware( jedním z nich je Security Essentials).
Zatímco v našem případě je výsledek falešně pozitivní, ukazuje se, že je možné, aby malware k přístupu k těmto údajům nedetekoval, i když systém běží anti-virus. Navíc, protože šifrované údaje jsou specifické pro uživatele, žádná výzva UAC nebude spuštěna aplikací, která se pokusí o přístup k těmto datům. Předtím, než se domnívám, že se jedná o chybu v operačním systému, je to opravdu tak, jak to musí být jinak. IE a řada dalších aplikací systému Windows, které využívají chráněné úložiště, by spustily výzvu UAC pokaždé, když se otevřely.
Co když je počítač ukraden?
Jednoduchá odpověď je, že tato data jsou stejně bezpečná jako vaše heslo účtu Windows. Jak jsme uvedli výše, při přihlašování k účtu pomocí příslušného hesla jsou tato data snadno dostupná.Pokud nepoužijete žádné heslo, nemáte žádnou ochranu.
Abych udělal další krok, provedl jsem reset hesla účtu, abych zjistil, co se stane, když bylo heslo změněno mimo systém Windows. Po resetování jsem uloľil nové heslo adresy Gmail( blah @) a spustil IE PassView. Byl jsem schopen vidět předchozí uživatelské jméno( myemail @), které bylo uloženo před resetováním hesla, ale proto, že hesla účtu( tj. "Hlavní heslo") použitá pro ukládání dat se liší, nebylo možné dešifrovat IEheslo uložené pod předchozím heslem účtu Windows. To je určitě dobrá věc.
Závěr
Na konci dne zabezpečení hesel uložených v IE závisí zcela na uživateli:
- Použijte velmi silné heslo účtu Windows. Mějte na paměti, že existují nástroje, které mohou dešifrovat hesla systému Windows. Pokud někdo dostane heslo k účtu Windows, pak má přístup k uloženým IE heslům.
- Chraňte se před malwarem. Jsou-li nástroje schopny snadno přistupovat k uloženým heslům, proč nemůže být malware?
- Uložte hesla do systému pro správu hesel, jako je KeePass. Samozřejmě, ztrácíte pohodlí tím, že prohlížeč automaticky zaplní vaše hesla.
- Použijte nástroj třetí strany, který se integruje s IE a pro správu hesel používá hlavní heslo.
- Šifrování celého pevného disku pomocí programu TrueCrypt. To je zcela volitelné a pro ultra ochranný, ale pokud někdo nemůže dešifrovat váš disk, určitě může dostat něco z toho.
Samozřejmě, že oba jsou samozřejmé, ale to jen posiluje důležitost kroků k udržení vašeho systému bezpečného.
Stáhnout IE PassView od společnosti NirSoft
