5Jul
אחד הכלים הנוחים ביותר הדפדפנים מציעים את היכולת לשמור באופן אוטומטי מראש את הסיסמאות בטפסים התחברות.כי כל כך הרבה אתרים דורשים חשבונות וזה ידוע( או צריך להיות לפחות) כי באמצעות סיסמה משותפת הוא גדול לא, מנהל הסיסמה הוא כמעט חיוני.
אז אם אתה משתמש ב- IE וענה "כן" כדי לאפשר לדפדפן לזכור את הסיסמה שלך, עד כמה מאובטח המידע הזה?
איפה הם נשמרים?
החל מ- Internet Explorer 7, הסיסמה מאוחסנת ברישום המערכת( KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) ומוצפנת על בסיס סיסמת ההתחברות של משתמש Windows באמצעות ממשק הגנת הנתונים אשר משתמש בהצפנת Triple DES.
מהי האבטחה של נתונים אלה?
בזמן כתיבת שורות אלה, טריפל DES הוא כמעט בלתי שבירה באמצעות שיטות כוח פראי.עם זאת, באמת אין צורך כוח בכוח ההצפנה ברגע שאתה מחובר לחשבון Windows שבו הנתונים הסיסמה מאוחסנים כמו Windows עושה את ההנחה כי פעם אחת מחובר זה בטוח עבור יישומים לגשת לנתונים אלה.כתוצאה של IE לא באמצעות סיסמה בסיסית( כגון מה פיירפוקס מציעה) כדי להגן על הסיסמאות שנשמרו, את הסיסמה המתאימה של Windows החשבון הוא מפתח פענוח משולשת DES.
במילים פשוטות, אם אתה יכול להיכנס ל- Windows עם החשבון והסיסמה, תוכל לראות את סיסמאות הדפדפן שנשמרו.באמצעות כלי שירות זמין באופן חופשי, כגון NISoft של IE PassView, אתה יכול להציג ולייצא כל סיסמת IE שנשמר.
אז יכול תוכנה זדונית גישה זו?
לאחר שראה כמה קל להגיע לנתונים אלה, השאלה הלוגית הבאה היא תוכנה זדונית בקלות להגיע לנתונים אלה.אני לא מפתח תוכנה זדונית, אבל אני לא רואה שום סיבה שזה לא יכול.אם אני לסרוק את השירות IE PassView באמצעות וירוס סך הכל, אתה יכול לראות 55% של סורקים הם משתמשים לזהות את זה תוכנות זדוניות( שאחד מהם הוא יסודות האבטחה).
בעוד במקרה שלנו התוצאה היא חיובית שקר, זה מראה כי זה אפשרי עבור חתיכת תוכנה זדונית לגשת לנתונים אלה שלא זוהה גם כאשר המערכת פועלת אנטי וירוס.בנוסף, מכיוון שהנתונים המוצפנים הם ספציפיים למשתמש, לא תוצג הנחיה של UAC על ידי יישום המנסה לגשת לנתונים אלה.לפני שחושבים שזה פגם במערכת ההפעלה, זה באמת הדרך שבה זה צריך להיות אחרת IE ו שורה של יישומי Windows אחרים אשר לנצל את האחסון מוגן יפעילו UAC הפקודה בכל פעם שהם פתחו.
מה אם המחשב שלי נגנב?
התשובה הפשוטה היא שהנתונים האלה מאובטחים כמו סיסמת חשבון Windows שלך.כפי שהראנו לעיל, כאשר אתה מתחבר לחשבון באמצעות הסיסמה המתאימה כל הנתונים הללו נגישים בקלות.אם אינך משתמש בסיסמה, אין לך הגנה.
כדי לעשות את זה צעד נוסף, עשיתי אתחול של סיסמת החשבון כדי לראות מה יקרה כאשר הסיסמה הייתה שונה בכוח מחוץ Windows.לאחר האיפוס, שמרתי סיסמת Gmail חדשה( blah @) והפעלתי את IE PassView.הצלחתי לראות את שם המשתמש הקודם( myemail @) שנשמר לפני האיפוס של הסיסמה, אבל בגלל סיסמאות החשבון( כלומר "סיסמת הורים") המשמש לשמירת הנתונים הם שונים, זה לא היה מסוגל לפענח את IEהסיסמה נשמרה תחת הסיסמה הקודמת של Windows.זה בהחלט דבר טוב.
סיכום
בסוף היום, האבטחה של סיסמאות IE שנשמרו תלויה לחלוטין על המשתמש:
- השתמש בסיסמה חזקה מאוד של Windows.זכור, יש כלי עזר שיכולים לפענח סיסמאות של Windows.אם מישהו מקבל את סיסמת חשבון Windows שלך אז יש להם גישה סיסמאות IE שנשמרו שלך.
- הגן על עצמך מפני תוכנות זדוניות.אם כלי שירות יכולים לגשת בקלות לסיסמאות השמורות שלך, מדוע לא ניתן להשתמש בתוכנה זדונית?
- שמור את הסיסמאות שלך במערכת ניהול סיסמאות כגון KeePass.כמובן, אתה משוחרר הנוחות של בעל דפדפן אוטומטי למלא את הסיסמאות שלך.
- השתמש בכלי שירות של צד שלישי המשלב ב- IE ומשתמש בסיסמת מנהל כדי לנהל את הסיסמאות שלך.להצפין את כל הכונן הקשיח באמצעות.זה אופציונלי לחלוטין עבור מגן אולטרה, אבל אם מישהו לא יכול לפענח את הכונן הם בהחלט יכולים לקבל משהו מחוץ לזה.
כמובן ששניהם הולכים בלי לומר, אבל זה רק מחזק את החשיבות של נקיטת צעדים כדי לשמור על המערכת שלך מאובטח.הורד IE PassView מ NirSoft