5Jul
Jedna od najprikladnijih alata za preglednike alata je mogućnost spremanja i automatsko prefabiranje zaporki na obrascima za prijavu. Budući da toliko web mjesta zahtijevaju račune i dobro je poznato( ili bi trebalo biti barem) da je korištenje zajedničke lozinke velika ne-ne, upravitelj zaporki gotovo je neophodan.
Dakle, ako ste korisnik IE i odgovorite "da" kako bi preglednik mogao zapamtiti vašu zaporku, koliko je siguran taj podatak?
Gdje su spremljeni?
Počevši od Internet Explorera 7, lozinka se pohranjuje u registru sustava( KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) i šifrira se protiv lozinke za prijavu korisnika sustava Windows pomoću API-ja za zaštitu podataka koji koristi šifriranje Triple DES.
Koliko su ti podaci sigurni?
U trenutku pisanja, Triple DES je praktički neraskidljiv po metodi brutalne sile. Međutim, doista nije potrebno brutalno prisiliti šifriranje nakon što se prijavite na račun za Windows gdje se podaci lozinke pohranjuju jer Windows pretpostavlja da je prilikom prijavljivanja sigurnost aplikacijama dostupna ovim podacima. Kao rezultat IE-a koji ne koristi glavnu lozinku( kao što je ono što Firefox nudi) kako bi zaštitili svoje spremljene lozinke, odgovarajuća lozinka za Windows račun je trostruki DES dešifriranje ključ.
Jednostavno rečeno, ako se s računom i lozinkom možete prijaviti u sustav Windows, možete vidjeti spremljene zaporke preglednika. Korištenje slobodnog softvera kao što je IE PassView NirSoft-a, možete pregledavati i izvoziti svaku spremljenu IE lozinku.
Znači li to zlonamjerni program može pristupiti?
Nakon što vidimo kako je lako doći do tih podataka, sljedeće logičko pitanje je da malware može lako doći do tih podataka. Nisam programer za zlonamjerni softver, ali ne vidim razloga zašto to ne može. Ako skeniram uslužni program IE PassView pomoću programa Virus Total, možete vidjeti da 55% skenera koje upotrebljavaju otkrivaju da je zlonamjerni softver( jedan od njih je Security Essentials).
Dok je u našem slučaju rezultat lažan pozitivan, to pokazuje da je moguće da neki zlonamjerni program pristupi tim podacima neopaženima čak i kada sustav pokreće protuvirusni virus. Osim toga, zbog toga što je šifrirani podatak specifičan za korisnika, niti jedan UAC prompt neće pokrenuti aplikacija koja pokušava pristupiti tim podacima. Prije nego što mislimo da je to pogreška u operativnom sustavu, to je stvarno način na koji mora biti drugačije IE i niz drugih Windows aplikacija koje koriste zaštićenu pohranu potaknulo bi UAC prompt svaki put kad bi se otvorili.
Što ako je moje računalo ukradeno?
Jednostavan odgovor je taj podatak kao siguran kao lozinka za Windows račun. Kao što smo već prikazali, kada se prijavite na račun pomoću odgovarajuće lozinke, svi ti podaci su lako dostupni. Ako ne koristite lozinku, nemate zaštitu.
Da biste poduzeli ovaj korak dalje, poništio sam zaporku računa kako bih vidio što će se dogoditi kada se lozinka snažno promijeni izvan sustava Windows. Nakon resetiranja spremila sam novu zaporku za Gmail adresu( blah @) i pokrenula IE PassView. Bila sam u mogućnosti vidjeti prethodno korisničko ime( myemail @) koja je spremljena prije nego što je lozinka ponovno postavljena, ali zato što su lozinke računa( tj. "Glavna lozinka") korištene za spremanje podataka različite, nije uspjela dekriptirati IElozinka spremljena pod prethodnom zaporkom za Windows račun. Ovo je svakako dobra stvar.
Zaključak
Na kraju dana, sigurnost IE spremljenih lozinki ovisi potpuno o korisniku:
- Koristite vrlo jaku lozinku za Windows račun. Imajte na umu da postoje uslužni programi koji mogu dešifrirati zaporke sustava Windows. Ako netko dobije vašu zaporku za Windows račun, onda imaju pristup spremljenim IE zaporkama.
- Zaštitite se od zlonamjernog softvera. Ako komunalije mogu jednostavno pristupiti spremljenim zaporkama, zašto ne može zlonamjerni softver?
- Spremite lozinke u sustav za upravljanje zaporkom, kao što je KeePass. Naravno, izgubite pogodnost da preglednik automatski popunjava vaše zaporke.
- Koristite uslužni program treće strane koji se integrira s IE i koristi glavnu lozinku za upravljanje lozinkama.
- Šifriranje cijelog tvrdog diska koristeći TrueCrypt. To je potpuno opcionalno i za ultra zaštitnu, ali ako netko ne može dekriptirati vaš pogon sigurno će dobiti ništa od toga.
Naravno, oba ova pitanja ići bez rekavši, ali to samo pojačava važnost poduzimanja koraka kako bi vaš sustav bio siguran.
Preuzmite IE PassView od NirSoft