5Jul
Eines der bequemsten Werkzeuge, die Browser bieten, ist die Möglichkeit, Passwörter auf Anmeldeformularen zu speichern und automatisch vorzufüllen. Da so viele Websites Accounts erfordern und es allgemein bekannt ist( oder zumindest sein sollte), dass die Verwendung eines gemeinsam genutzten Passworts ein großes Nein ist, ist ein Passwort-Manager fast unerlässlich.
Wenn Sie IE-Benutzer sind und mit "Ja" antworten, damit der Browser sich Ihr Passwort merken kann, wie sicher sind diese Informationen?
Wo werden sie gespeichert?
Ab Internet Explorer 7 werden die Kennwörter in der Systemregistrierung gespeichert( KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) und mit dem Kennwort für das Windows-Benutzerkennwort verschlüsselt, das die Data Protection API verwendet, die Triple-DES-Verschlüsselung verwendet.
Wie sicher sind diese Daten?
Zum Zeitpunkt der Abfassung dieses Artikels ist Triple DES durch Brute-Force-Methoden praktisch unzerstörbar. Es besteht jedoch keine Notwendigkeit, die Verschlüsselung zu erzwingen, sobald Sie im Windows-Konto angemeldet sind, in dem Ihre Kennwortdaten gespeichert sind, da Windows davon ausgeht, dass Anwendungen für den Zugriff auf diese Daten sicher sind. Als Folge davon, dass IE kein Master-Passwort verwendet( wie es Firefox anbietet), um seine gespeicherten Passwörter zu schützen, ist das entsprechende Windows-Account-Passwort der Triple-DES-Entschlüsselungsschlüssel.
Einfach ausgedrückt: Wenn Sie sich mit dem Konto und dem Passwort bei Windows anmelden können, sehen Sie die gespeicherten Browserkennwörter. Mit einem frei verfügbaren Dienstprogramm wie dem IE PassView von NirSoft können Sie jedes gespeicherte IE-Passwort anzeigen und exportieren.
So kann Malware auf diese zugreifen?
Nachdem wir gesehen haben, wie einfach es ist, zu diesen Daten zu gelangen, ist die nächste logische Frage, ob Malware leicht auf diese Daten zugreifen kann. Ich bin kein Malware-Entwickler, aber ich sehe keinen Grund dafür. Wenn ich das IE PassView-Dienstprogramm mit Virus Total scanne, sehen Sie, dass 55% der von ihnen verwendeten Scanner Malware erkennen( eine davon ist Security Essentials).
Während in unserem Fall das Ergebnis falsch positiv ist, zeigt dies, dass es für eine Malware möglich ist, auf diese Daten unerkannt zuzugreifen, selbst wenn das System Antivirus ausführt. Da die verschlüsselten Daten benutzerspezifisch sind, wird außerdem keine UAC-Eingabeaufforderung von einer Anwendung ausgelöst, die versucht, auf diese Daten zuzugreifen. Bevor Sie denken, dass dies ein Fehler im Betriebssystem ist, ist dies wirklich die Art, wie es sonst sein muss. IE und eine Reihe anderer Windows-Anwendungen, die den geschützten Speicher verwenden, würden bei jedem Öffnen eine UAC-Eingabeaufforderung auslösen.
Was passiert, wenn mein Computer gestohlen wird?
Die einfache Antwort ist, dass diese Daten so sicher sind wie Ihr Windows-Account-Passwort. Wie oben gezeigt, sind alle diese Daten leicht zugänglich, wenn Sie sich mit dem entsprechenden Passwort beim Konto anmelden. Wenn Sie kein Passwort verwenden, haben Sie keinen Schutz.
Um noch einen Schritt weiter zu gehen, habe ich das Kontopasswort zurückgesetzt, um zu sehen, was passiert, wenn das Passwort außerhalb von Windows gewaltsam geändert wird. Nach dem Zurücksetzen habe ich ein neues Passwort für die Google Mail-Adresse gespeichert( blah @) und IE PassView ausgeführt. Ich konnte den vorherigen Benutzernamen( myemail @) sehen, der vor dem Zurücksetzen des Passworts gespeichert wurde, aber da die Kontokennwörter( dh "Master-Passwort") zum Speichern der Daten unterschiedlich waren, konnte der IE nicht entschlüsselt werdenPasswort unter dem vorherigen Windows-Account-Passwort gespeichert. Das ist definitiv eine gute Sache.
Fazit
Am Ende des Tages hängt die Sicherheit Ihrer IE-gespeicherten Passwörter vollständig vom Benutzer ab:
- Verwenden Sie ein sehr starkes Windows-Account-Passwort. Denken Sie daran, es gibt Dienstprogramme, die Windows-Passwörter entschlüsseln können. Wenn jemand Ihr Windows-Account-Passwort erhält, hat er Zugriff auf Ihre gespeicherten IE-Passwörter.
- Schützen Sie sich vor Malware. Wenn Dienstprogramme einfach auf Ihre gespeicherten Kennwörter zugreifen können, warum kann keine Malware verwendet werden?
- Speichern Sie Ihre Passwörter in einem Passwort-Management-System wie KeePass. Natürlich verlieren Sie den Komfort, dass der Browser Ihre Kennwörter automatisch ausfüllt.
- Verwenden Sie ein Dienstprogramm von Drittanbietern, das in IE integriert ist und ein Master-Passwort verwendet, um Ihre Kennwörter zu verwalten.
- Verschlüsseln Sie Ihre gesamte Festplatte mit TrueCrypt. Dies ist völlig optional und für den Ultra-Schutz, aber wenn jemand Ihre Festplatte nicht entschlüsseln kann, können sie sicher etwas davon abbekommen.
Selbstverständlich sind beide selbstverständlich, aber dies unterstreicht nur die Wichtigkeit von Maßnahmen, um Ihr System sicher zu halten.
Laden Sie IE PassView von NirSoft
herunter