5Jul
Una de las herramientas más útiles que ofrecen los navegadores es la capacidad de guardar y rellenar automáticamente sus contraseñas en los formularios de inicio de sesión. Debido a que muchos sitios requieren cuentas y es bien sabido( o debería ser al menos) que el uso de una contraseña compartida es un gran no-no, un administrador de contraseñas es casi esencial.
Entonces, si usted es un usuario de IE y responde "sí" para permitir que el navegador recuerde su contraseña, ¿qué tan segura es esta información?
¿Dónde se guardan?
A partir de Internet Explorer 7, las contraseñas se almacenan en el registro del sistema( KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) y se cifran con la contraseña de inicio de sesión del usuario de Windows utilizando la API de protección de datos que utiliza el cifrado Triple DES.
¿Qué tan seguro es esta información?
En el momento de escribir esto, Triple DES es prácticamente irrompible a través de métodos de fuerza bruta. Sin embargo, realmente no existe la necesidad de aplicar fuerza bruta al cifrado una vez que haya iniciado sesión en la cuenta de Windows donde se almacenan sus datos de contraseña, ya que Windows asume que una vez que haya iniciado sesión, es seguro que las aplicaciones accedan a estos datos. Como resultado de que IE no utiliza una contraseña maestra( como la que ofrece Firefox) para proteger sus contraseñas guardadas, la contraseña respectiva de la cuenta de Windows es la clave de descifrado Triple DES.
En pocas palabras, si puede iniciar sesión en Windows con la cuenta y la contraseña, puede ver las contraseñas guardadas del navegador. Utilizando una utilidad disponible libremente como IE PassView de NirSoft, puede ver y exportar cada contraseña de IE guardada.
Entonces, ¿el malware puede acceder a esto?
Después de ver lo fácil que es llegar a estos datos, la siguiente pregunta lógica es si el malware puede acceder fácilmente a estos datos. No soy un desarrollador de malware, pero no veo ningún motivo por el que no pueda hacerlo. Si escaneo la utilidad IE PassView utilizando Virus Total, puede ver que el 55% de los escáneres que utilizan detectan que es un malware( uno de los cuales es Security Essentials).
Si bien en nuestro caso el resultado es un falso positivo, esto muestra que es posible que una pieza de malware acceda a estos datos sin ser detectado incluso cuando el sistema ejecuta antivirus. Además, dado que los datos cifrados son específicos del usuario, ninguna solicitud que intente acceder a estos datos activará un aviso de UAC.Antes de pensar que esto es un defecto en el sistema operativo, esta es realmente la forma en que debe ser, de lo contrario, IE y una serie de otras aplicaciones de Windows que utilizan el almacenamiento protegido activarán un aviso de UAC cada vez que se abran.
¿Qué pasa si mi computadora es robada?
La respuesta simple es que estos datos son tan seguros como la contraseña de su cuenta de Windows. Como hemos mostrado anteriormente, cuando ingresa a la cuenta con la contraseña adecuada, todos estos datos son de fácil acceso. Si no usa contraseña, no tiene protección.
Para llevar esto un paso más allá, hice un reinicio de la contraseña de la cuenta para ver qué sucedería cuando la contraseña se cambiara forzosamente fuera de Windows. Después del reinicio, guardé una nueva contraseña de dirección de Gmail( blah @) y ejecuté IE PassView. Pude ver el nombre de usuario anterior( myemail @) que se guardó antes de restablecer la contraseña, pero debido a que las contraseñas de la cuenta( es decir, "contraseña maestra") utilizadas para guardar los datos son diferentes, no fue capaz de descifrar el IEcontraseña guardada con la contraseña de la cuenta de Windows anterior. Esto definitivamente es algo bueno.
Conclusión
Al final del día, la seguridad de sus contraseñas guardadas de IE depende totalmente del usuario:
- Use una contraseña de cuenta de Windows muy sólida. Tenga en cuenta que hay utilidades que pueden descifrar las contraseñas de Windows. Si alguien obtiene la contraseña de su cuenta de Windows, entonces tienen acceso a sus contraseñas de IE guardadas.
- Protéjase del malware. Si las utilidades pueden acceder fácilmente a sus contraseñas guardadas, ¿por qué no puede el malware?
- Guarde sus contraseñas en un sistema de administración de contraseñas como KeePass. Por supuesto, pierde la comodidad de que el navegador complete automáticamente sus contraseñas.
- Utilice una utilidad de terceros que se integre con IE y use una contraseña maestra para administrar sus contraseñas.
- Cifre todo su disco duro con TrueCrypt. Esto es completamente opcional y para la protección ultra, pero si alguien no puede descifrar su disco seguramente pueden sacar algo de eso.
Por supuesto que ambos son evidentes, pero esto solo refuerza la importancia de tomar medidas para mantener su sistema seguro.
Descargar IE PassView de NirSoft