5Jul
Ένα από τα πιο βολικά εργαλεία που προσφέρουν οι browsers είναι η δυνατότητα αποθήκευσης και αυτόματης προπληρωμής των κωδικών πρόσβασης στις φόρμες σύνδεσης.Επειδή τόσοι πολλοί ιστότοποι χρειάζονται λογαριασμούς και είναι γνωστό( ή θα πρέπει να είναι τουλάχιστον) ότι η χρήση ενός κοινόχρηστου κωδικού πρόσβασης είναι ένα μεγάλο όχι-όχι, ένας διαχειριστής κωδικών πρόσβασης είναι σχεδόν απαραίτητος.
Επομένως αν είστε χρήστης IE και απαντήσετε "ναι" για να επιτρέψετε στο πρόγραμμα περιήγησης να θυμάται τον κωδικό πρόσβασής σας, πόσο ασφαλείς είναι αυτές οι πληροφορίες;
Πού αποθηκεύονται;
Ξεκινώντας από τον Internet Explorer 7, ο κωδικός πρόσβασης αποθηκεύεται στο μητρώο συστήματος( KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) και αποκρυπτογραφείται στον κωδικό πρόσβασης του χρήστη των Windows χρησιμοποιώντας το API προστασίας δεδομένων που χρησιμοποιεί κρυπτογράφηση Triple DES.
Πόσο ασφαλείς είναι αυτά τα δεδομένα;
Κατά τη διάρκεια αυτής της γραφής, το Triple DES είναι πρακτικά άθραυστο μέσω μεθόδων ωμής βίας.Εντούτοις, δεν υπάρχει πραγματικά ανάγκη να χρεοκοπούνται η κρυπτογράφηση μόλις συνδεθείτε στον λογαριασμό των Windows όπου αποθηκεύονται τα δεδομένα του κωδικού πρόσβασης, καθώς τα Windows κάνουν την υπόθεση ότι μόλις συνδεθεί, είναι ασφαλές για τις εφαρμογές να έχουν πρόσβαση σε αυτά τα δεδομένα.Ως αποτέλεσμα του ότι ο IE δεν χρησιμοποιεί έναν κύριο κωδικό πρόσβασης( όπως αυτό που προσφέρει το Firefox) για την προστασία των αποθηκευμένων κωδικών πρόσβασης, ο αντίστοιχος κωδικός πρόσβασης των Windows είναι το κλειδί αποκρυπτογράφησης Triple DES.
Απλά, αν μπορείτε να συνδεθείτε στα Windows με το λογαριασμό και τον κωδικό πρόσβασης, μπορείτε να δείτε τους αποθηκευμένους κωδικούς πρόσβασης του προγράμματος περιήγησης.Χρησιμοποιώντας ένα δωρεάν βοηθητικό πρόγραμμα, όπως το IE PassView του NirSoft, μπορείτε να προβάλετε και να εξαγάγετε κάθε αποθηκευμένο κωδικό πρόσβασης IE.
Μπορεί να έχει πρόσβαση σε κακόβουλα προγράμματα;
Αφού δούμε πόσο εύκολο είναι να φτάσουμε σε αυτά τα δεδομένα, η επόμενη λογική ερώτηση είναι ότι τα κακόβουλα προγράμματα μπορούν εύκολα να φτάσουν σε αυτά τα δεδομένα.Δεν είμαι προγραμματιστής κακόβουλου λογισμικού, αλλά δεν βλέπω κανένα λόγο ότι δεν θα μπορούσε.Εάν ανιχνεύσω το βοηθητικό πρόγραμμα IE PassView χρησιμοποιώντας Virus Total, μπορείτε να δείτε το 55% των σαρωτών που χρησιμοποιούν ανιχνεύει ότι είναι κακόβουλο λογισμικό( ένα από τα οποία είναι το Security Essentials).
Ενώ στην περίπτωσή μας το αποτέλεσμα είναι ψευδώς θετικό, αυτό δείχνει ότι είναι πιθανό ένα κομμάτι κακόβουλου λογισμικού να έχει πρόσβαση σε αυτά τα δεδομένα που δεν έχουν εντοπιστεί ακόμη και όταν το σύστημα τρέχει αντι-ιός.Επιπλέον, επειδή τα κρυπτογραφημένα δεδομένα είναι συγκεκριμένα για το χρήστη, δεν θα ενεργοποιηθεί προτροπή UAC από μια εφαρμογή που προσπαθεί να έχει πρόσβαση σε αυτά τα δεδομένα.Πριν σκεφτεί κανείς ότι πρόκειται για ένα ελάττωμα στο λειτουργικό σύστημα, αυτός είναι ο τρόπος με τον οποίο θα πρέπει να είναι διαφορετικά και μια σειρά άλλων εφαρμογών των Windows που χρησιμοποιούν την προστατευόμενη αποθήκευση θα ενεργοποιούν μια προτροπή UAC κάθε φορά που ανοίγουν.
Τι γίνεται αν κλαπεί ο υπολογιστής μου;
Η απλή απάντηση είναι ότι αυτά τα δεδομένα είναι εξίσου ασφαλή με τον κωδικό πρόσβασης λογαριασμού των Windows.Όπως έχουμε δείξει παραπάνω, όταν συνδεθείτε στο λογαριασμό χρησιμοποιώντας τον κατάλληλο κωδικό πρόσβασης, όλα αυτά τα δεδομένα είναι εύκολα προσβάσιμα.Εάν δεν χρησιμοποιείτε κωδικό πρόσβασης, δεν έχετε προστασία.
Για να πάρω αυτό το βήμα παραπέρα, έκανα επαναφορά του κωδικού πρόσβασης του λογαριασμού για να δούμε τι θα συνέβαινε όταν ο κωδικός τροποποιήθηκε έντονα έξω από τα Windows.Μετά την επαναφορά, έχω αποθηκεύσει έναν νέο κωδικό πρόσβασης για τη διεύθυνση Gmail( blah @) και έτρεξε το IE PassView.Ήμουν σε θέση να βλέπω το προηγούμενο όνομα χρήστη( myemail @) το οποίο αποθηκεύτηκε πριν από την επαναφορά του κωδικού πρόσβασης, αλλά επειδή οι κωδικοί πρόσβασης του λογαριασμού( δηλαδή ο "κύριος κωδικός πρόσβασης") που χρησιμοποιούνται για την αποθήκευση των δεδομένων είναι διαφορετικοί, δεν ήταν σε θέση να αποκρυπτογραφήσει το IEο κωδικός πρόσβασης αποθηκεύτηκε κάτω από τον προηγούμενο κωδικό πρόσβασης λογαριασμού των Windows.Αυτό είναι σίγουρα καλό πράγμα.
Συμπεράσματα
Στο τέλος της ημέρας, η ασφάλεια των αποθηκευμένων κωδικών πρόσβασης IE εξαρτάται πλήρως από τον χρήστη:
- Χρησιμοποιήστε έναν πολύ ισχυρό κωδικό πρόσβασης λογαριασμού των Windows.Λάβετε υπόψη σας ότι υπάρχουν βοηθητικές εφαρμογές οι οποίες μπορούν να αποκρυπτογραφήσουν τους κωδικούς πρόσβασης των Windows.Εάν κάποιος αποκτήσει τον κωδικό πρόσβασης λογαριασμού των Windows τότε έχει πρόσβαση στους αποθηκευμένους κωδικούς πρόσβασης IE.
- Προστατεύστε τον εαυτό σας από κακόβουλο λογισμικό.Εάν τα βοηθητικά προγράμματα είναι σε θέση να έχουν εύκολη πρόσβαση στους αποθηκευμένους κωδικούς πρόσβασης, γιατί δεν μπορούν να χρησιμοποιηθούν κακόβουλα προγράμματα;
- Αποθηκεύστε τους κωδικούς πρόσβασής σας σε ένα σύστημα διαχείρισης κωδικών πρόσβασης, όπως το KeePass.Φυσικά, χάνετε την ευκολία του να έχετε το πρόγραμμα περιήγησης να συμπληρώνει αυτόματα τους κωδικούς πρόσβασής σας.
- Χρησιμοποιήστε ένα βοηθητικό πρόγραμμα τρίτου μέρους το οποίο ενσωματώνεται με τον IE και χρησιμοποιεί έναν κύριο κωδικό πρόσβασης για τη διαχείριση των κωδικών πρόσβασης.
- Κρυπτογράφηση ολόκληρου του σκληρού δίσκου χρησιμοποιώντας το TrueCrypt.Αυτό είναι εντελώς προαιρετικό και για την εξαιρετικά προστατευτική, αλλά αν κάποιος δεν μπορεί να αποκρυπτογραφήσει το αυτοκίνητό σας σίγουρα μπορεί να πάρει τίποτα από αυτό.
Φυσικά και τα δύο αυτά είναι αυτονόητα, αλλά απλώς ενισχύει τη σημασία της λήψης μέτρων για την ασφαλή φύλαξη του συστήματός σας.
Κατεβάστε το IE PassView από το NirSoft
