5Jul
Een van de handigste tools die browsers aanbieden, is de mogelijkheid om uw wachtwoorden automatisch in te vullen en in te vullen op aanmeldingsformulieren. Omdat zoveel sites accounts vereisen en het algemeen bekend is( of zou moeten zijn) dat het gebruik van een gedeeld wachtwoord een grote no-no is, is een wachtwoordbeheerder bijna essentieel.
Dus als u een IE-gebruiker bent en "ja" antwoordt om de browser in staat te stellen uw wachtwoord te onthouden, hoe veilig is deze informatie dan?
Waar worden ze opgeslagen?
Vanaf Internet Explorer 7 wordt het wachtwoord opgeslagen in het systeemregister( KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) en versleuteld met het wachtwoord voor de Windows-gebruiker met behulp van de Data Protection API die gebruikmaakt van Triple DES-codering.
Hoe veilig zijn deze gegevens?
Ten tijde van dit schrijven is Triple DES praktisch onbreekbaar door middel van brute force-methoden. Het is echter niet nodig om de codering bruut te forceren zodra u bent aangemeld bij het Windows-account waar uw wachtwoordgegevens worden opgeslagen, terwijl Windows ervan uitgaat dat apps die eenmaal zijn aangemeld, veilig zijn voor toegang tot deze gegevens. Als gevolg van IE dat geen hoofdwachtwoord( zoals wat Firefox biedt) gebruikt om zijn opgeslagen wachtwoorden te beschermen, is het respectieve Windows-accountwachtwoord de Triple DES-decoderingssleutel.
Simpel gezegd, als u zich met uw account en wachtwoord bij Windows kunt aanmelden, ziet u de opgeslagen browserwachtwoorden. Met behulp van een vrij verkrijgbaar hulpprogramma zoals IE PassView van NirSoft kunt u elk opgeslagen IE-wachtwoord bekijken en exporteren.
Dus kan malware hier toegang toe krijgen?
Nadat we hebben gezien hoe gemakkelijk het is om bij deze gegevens te komen, is de volgende logische vraag dat malware gemakkelijk bij deze gegevens kan komen. Ik ben geen ontwikkelaar van malware, maar ik zie geen reden waarom dit niet kon. Als ik het IE PassView-hulpprogramma scan met behulp van Virus Total, kunt u zien dat 55% van de scanners die zij gebruiken, malware detecteren( een daarvan is Security Essentials).
Hoewel in ons geval het resultaat vals positief is, laat dit zien dat het mogelijk is voor een stukje malware om deze gegevens ongemerkt te openen, zelfs wanneer het systeem antivirus werkt. Omdat de gecodeerde gegevens gebruikersspecifiek zijn, wordt bovendien geen UAC-prompt geactiveerd door een toepassing die probeert toegang te krijgen tot deze gegevens. Alvorens te denken dat dit een fout is in het OS, is dit echt de manier waarop het anders moet zijn IE en een groot aantal andere Windows-toepassingen die gebruik maken van de beveiligde opslag zou elke keer dat ze werden geopend een UAC-prompt activeren.
Wat als mijn computer wordt gestolen?
Het eenvoudige antwoord is dat deze gegevens even veilig zijn als het wachtwoord van uw Windows-account. Zoals we hierboven hebben aangetoond, zijn al deze gegevens gemakkelijk toegankelijk wanneer u zich aanmeldt bij het account met het juiste wachtwoord. Als u geen wachtwoord gebruikt, hebt u geen bescherming.
Om nog een stap verder te gaan, heb ik het accountwachtwoord opnieuw ingesteld om te zien wat er zou gebeuren als het wachtwoord buiten Windows krachtig werd gewijzigd. Na de reset heb ik een nieuw Gmail-adreswachtwoord( blah @) opgeslagen en IE PassView uitgevoerd. Ik kon de vorige gebruikersnaam( mijnnaam @) zien die was opgeslagen voordat het wachtwoord werd gereset, maar omdat de accountwachtwoorden( dwz "hoofdwachtwoord") die werden gebruikt om de gegevens op te slaan, anders waren, was het niet in staat om het IE te decoderen.wachtwoord opgeslagen onder het wachtwoord van het vorige Windows-account. Dit is absoluut een goede zaak.
Conclusie
Aan het einde van de dag hangt de beveiliging van uw IE opgeslagen wachtwoorden volledig af van de gebruiker:
- Gebruik een zeer sterk Windows-accountwachtwoord. Houd er rekening mee dat er hulpprogramma's zijn die Windows-wachtwoorden kunnen ontcijferen. Als iemand het Windows-accountwachtwoord krijgt, heeft hij toegang tot uw opgeslagen IE-wachtwoorden.
- Bescherm uzelf tegen malware. Als hulpprogramma's gemakkelijk toegang hebben tot uw opgeslagen wachtwoorden, waarom kan dan geen malware zijn?
- Sla uw wachtwoorden op in een wachtwoordbeheersysteem zoals KeePass. Natuurlijk verlies je het gemak van het automatisch invullen van je wachtwoorden door de browser.
- Gebruik een hulpprogramma van derden dat met IE is geïntegreerd en een hoofdwachtwoord gebruikt om uw wachtwoorden te beheren.
- Versleutel uw volledige harde schijf met behulp van TrueCrypt. Dit is volledig optioneel en voor de ultra-beschermende, maar als iemand je schijf niet kan ontsleutelen, kunnen ze er zeker iets van krijgen.
Natuurlijk zijn beide vanzelfsprekend, maar dit versterkt gewoon het belang van het nemen van stappen om uw systeem te beveiligen.
IE PassView van NirSoft
downloaden