5Jul
Salah satu alat yang paling mudah digunakan oleh browser adalah kemampuan untuk menyimpan dan secara otomatis mengisi kata sandi Anda pada formulir login. Karena begitu banyak situs memerlukan akun dan sudah diketahui( atau setidaknya paling tidak) bahwa menggunakan kata sandi bersama adalah tidak besar, pengelola kata sandi hampir penting.
Jadi jika Anda pengguna IE dan menjawab "iya" untuk memungkinkan browser mengingat kata kunci Anda, seberapa aman informasi ini?
Dimana mereka diselamatkan?
Dimulai dari Internet Explorer 7, kata sandi disimpan di registri sistem( KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) dan di-cipher terhadap kata sandi pengguna Windows dengan menggunakan API Perlindungan Data yang menggunakan enkripsi Triple DES.
Seberapa amankah data ini?
Pada saat penulisan ini, Triple DES praktis tidak dapat dipecahkan melalui metode kekerasan. Namun, sebenarnya tidak perlu memaksa enkripsi setelah Anda masuk ke akun Windows yang menyimpan data kata sandi Anda karena Windows membuat asumsi bahwa setelah masuk log aman bagi aplikasi untuk mengakses data ini. Sebagai hasil dari IE tidak menggunakan kata kunci utama( seperti yang ditawarkan Firefox) untuk melindungi kata sandinya yang tersimpan, kata sandi akun Windows masing-masing adalah kunci dekripsi Triple DES.
Sederhananya, jika Anda bisa masuk ke Windows dengan akun dan kata sandi, Anda bisa melihat kata kunci browser yang tersimpan. Dengan menggunakan utilitas yang tersedia secara gratis seperti NirSoft's IE PassView, Anda dapat melihat dan mengekspor setiap kata sandi IE yang tersimpan.
Jadi bisakah malware mengaksesnya?
Setelah melihat betapa mudahnya untuk mendapatkan data ini, pertanyaan logis selanjutnya adalah malware bisa dengan mudah mengakses data ini. Saya bukan pengembang perangkat lunak perusak, tapi saya tidak melihat alasan apa pun tidak dapat dilakukan. Jika saya memindai utilitas IE PassView menggunakan Total Virus, Anda dapat melihat 55% pemindai yang mereka gunakan untuk mendeteksi bahwa itu adalah perangkat lunak perusak( salah satunya adalah Security Essentials).
Sementara dalam kasus kami hasilnya positif palsu, ini menunjukkan bahwa adalah mungkin bagi sepotong malware untuk mengakses data ini tidak terdeteksi bahkan ketika sistem menjalankan anti-virus. Selain itu, karena data yang dienkripsi tidak spesifik pengguna, permintaan UAC akan dipicu oleh aplikasi yang mencoba mengakses data ini. Sebelum berpikir ini adalah kelemahan di OS, ini benar-benar cara yang harus dilakukan jika IE dan sejumlah aplikasi Windows lainnya yang memanfaatkan penyimpanan yang dilindungi akan memicu permintaan UAC setiap kali mereka membuka.
Bagaimana jika komputer saya dicuri?
Jawabannya sederhana adalah data ini seaman password akun Windows anda. Seperti yang telah kami tunjukkan di atas, saat Anda login ke akun menggunakan kata kunci yang sesuai semua data ini mudah diakses. Jika Anda tidak menggunakan kata sandi, Anda tidak memiliki perlindungan.
Untuk mengambil langkah ini lebih jauh, saya melakukan reset kata sandi akun untuk melihat apa yang akan terjadi bila kata sandi diubah dengan paksa di luar Windows. Setelah di reset, saya menyimpan password alamat Gmail baru( blah @) dan menjalankan IE PassView. Saya bisa melihat nama pengguna sebelumnya( myemail @) yang tersimpan sebelum password di-reset, tapi karena password akun( yaitu "master password") yang digunakan untuk menyimpan data berbeda, ternyata tidak bisa mendekripsi IE.kata sandi disimpan di bawah kata sandi akun Windows sebelumnyaIni jelas hal yang baik.
Kesimpulan
Pada akhir hari, keamanan sandi yang tersimpan IE Anda sepenuhnya bergantung pada pengguna:
- Gunakan kata sandi akun Windows yang sangat kuat. Perlu diingat, ada utilitas yang bisa menguraikan password Windows. Jika seseorang mendapatkan password akun Windows Anda, mereka akan memiliki akses ke kata sandi IE yang Anda simpan.
- Lindungi diri Anda dari malware. Jika utilitas dapat dengan mudah mengakses kata kunci yang Anda simpan, mengapa malware tidak dapat digunakan?
- Simpan kata sandi Anda di sistem manajemen kata sandi seperti KeePass. Tentu saja, Anda kehilangan kenyamanan agar browser mengisi kata sandi Anda secara otomatis.
- Gunakan utilitas pihak ketiga yang terintegrasi dengan IE dan gunakan kata sandi utama untuk mengelola kata sandi Anda.
- Mengenkripsi seluruh hard drive Anda menggunakan TrueCrypt. Ini sepenuhnya opsional dan sangat protektif, tapi jika seseorang tidak bisa mendekripsi drive Anda, mereka pasti bisa mendapatkan apa pun darinya.
Tentu saja keduanya berjalan tanpa berkata apa-apa, tapi ini hanya memperkuat pentingnya mengambil langkah untuk menjaga keamanan sistem Anda.
Download IE PassView dari NirSoft