5Jul
En af de mest bekvemme værktøjer, browsere tilbyder, er evnen til at gemme og automatisk udfylde dine adgangskoder på login-formularer. Fordi så mange websteder kræver konti, og det er velkendt( eller burde være mindst), at ved hjælp af en fælles adgangskode er en stor nej, er en adgangskodeadministrator næsten afgørende.
Så hvis du er en IE-bruger og svar "ja" for at give browseren mulighed for at huske dit kodeord, hvor sikker er disse oplysninger?
Hvor er de gemt?
Fra Internet Explorer 7 gemmes adgangskoden i systemregistret( KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) og krypteres mod Windows-brugerens loginadgangskode ved hjælp af databeskyttelses-API'et, der bruger Triple DES-kryptering.
Hvor sikre er disse data?
På tidspunktet for denne skrivning er Triple DES praktisk talt ubrydelig gennem brute force metoder. Men der er virkelig ikke behov for at brute kraft krypteringen, når du er logget ind på Windows-kontoen, hvor dine adgangskode data er gemt som Windows antager, at en gang logget på det er sikkert for applikationer at få adgang til disse data. Som følge af, at IE ikke bruger en hovedadgangskode( som f.eks. Firefox tilbyder) for at beskytte sine gemte adgangskoder, er den respektive Windows-kontoadgangskode Triple DES-dekrypteringsnøglen.
Enkelt sagt, hvis du kan logge ind på Windows med kontoen og adgangskoden, kan du se de gemte browseradgangskoder. Ved hjælp af et frit tilgængeligt værktøj som NirSoft's IE PassView kan du se og eksportere alle gemte IE-adgangskoder.
Så kan malware få adgang til dette?
Efter at have set hvor nemt det er at komme til disse data, er det næste logiske spørgsmål, at malware nemt kan komme til disse data. Jeg er ikke en malware-udvikler, men jeg kan ikke se nogen grund det ikke kunne. Hvis jeg scanner IE PassView-hjælpeprogrammet ved hjælp af Virus Total, kan du se 55% af de scannere, de bruger, det er malware( hvoraf den ene er Security Essentials).
Mens i vores tilfælde resultatet er en falsk positiv, viser dette, at det er muligt for et stykke malware at få adgang til disse data uopdaget, selvom systemet kører anti-virus. Da de krypterede data er brugerspecifikke, vil ingen UAC prompt blive udløst af en applikation, der forsøger at få adgang til disse data. Før du tænker på dette er en fejl i operativsystemet, er det virkelig den måde, det skal være ellers IE, og en række andre Windows-programmer, der udnytter den beskyttede opbevaring, vil udløse en UAC-prompt hver gang de åbnes.
Hvad hvis min computer bliver stjålet?
Det enkle svar er, at disse data er lige så sikre som din Windows-adgangskode. Som vi har vist ovenfor, når du logger ind på kontoen ved hjælp af den passende adgangskode, er alle disse data let tilgængelige. Hvis du ikke bruger et kodeord, har du ingen beskyttelse.
For at tage dette et skridt videre, gjorde jeg en nulstilling af kontoadgangskoden for at se, hvad der ville ske, når adgangskoden blev kraftigt ændret uden for Windows. Efter nulstillingen gemte jeg en ny Gmail-adgangskode( blah @) og kørte IE PassView. Jeg kunne se det tidligere brugernavn( myemail @), som blev gemt, før adgangskoden blev nulstillet, men fordi kontoadgangskoderne( dvs. "master password"), der bruges til at gemme dataene, er forskellige, kunne den ikke dekryptere IEadgangskode gemt under det tidligere Windows-adgangskode. Dette er helt sikkert en god ting.
Konklusion
I slutningen af dagen afhænger sikkerheden af dine IE-gemte adgangskoder helt på brugeren:
- Brug en meget stærk Windows-adgangskode. Husk, at der er værktøjer, der kan dechiffrere Windows-adgangskoder. Hvis nogen får din Windows-kontoadgangskode, har de adgang til dine gemte IE-adgangskoder.
- Beskyt dig mod malware. Hvis værktøjerne nemt kan få adgang til dine gemte adgangskoder, hvorfor kan ikke malware?
- Gem dine adgangskoder i et kodeordstyringssystem som KeePass. Selvfølgelig mister du bekvemmeligheden ved at have browseren automatisk udfyld dine adgangskoder.
- Brug et tredjepartsprogram, der integreres med IE og bruger en masteradgangskode til at administrere dine adgangskoder.
- Krypter hele din harddisk ved hjælp af TrueCrypt. Dette er helt valgfrit og for ultra-beskyttende, men hvis nogen ikke kan dekryptere dit drev, kan de sikkert få noget ud af det.
Selvfølgelig siger begge disse selvfølgelig, men det styrker kun vigtigheden af at tage skridt til at holde systemet sikkert.
Download IE PassView fra NirSoft