5Jul
Jedną z najwygodniejszych przeglądarek narzędziowych jest możliwość zapisywania i automatycznego uzupełniania haseł w formularzach logowania. Ponieważ tak wiele witryn wymaga kont i jest dobrze znane( lub powinno być co najmniej), że używanie wspólnego hasła jest dużym nie-nie, menedżer haseł jest prawie niezbędny.
Jeśli więc jesteś użytkownikiem IE i odpowiadasz "tak", aby przeglądarka zapamiętała twoje hasło, jak bezpieczne są te informacje?
Gdzie są zapisane?
Począwszy od Internet Explorera 7, hasło jest przechowywane w rejestrze systemowym( KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) i szyfrowane na podstawie hasła logowania do systemu Windows za pomocą interfejsu Data Protection API, które wykorzystuje szyfrowanie Triple DES.
Jak bezpieczne są te dane?
W czasie pisania tego artykułu Triple DES jest praktycznie nie do złamania dzięki metodom brutalnej siły. Jednak naprawdę nie ma potrzeby, aby brutalnie wymuszać szyfrowanie po zalogowaniu się na konto systemu Windows, na którym przechowywane są dane haseł, ponieważ system Windows zakłada, że po zalogowaniu jest bezpieczny dla aplikacji, aby uzyskać dostęp do tych danych. W związku z tym, że IE nie używa hasła głównego( takiego jak Firefox) do ochrony zapisanych haseł, odpowiednie hasło do konta Windows to klucz deszyfrujący Triple DES.
Po prostu, jeśli możesz zalogować się do systemu Windows przy użyciu konta i hasła, możesz zobaczyć zapisane hasła przeglądarki. Korzystając z ogólnodostępnego narzędzia, takiego jak IE PassView firmy NirSoft, można wyświetlać i eksportować wszystkie zapisane hasła do IE.
Czy złośliwe oprogramowanie ma do tego dostęp?
Po zobaczeniu, jak łatwo jest dostać się do tych danych, następnym logicznym pytaniem jest, czy złośliwe oprogramowanie łatwo może uzyskać dostęp do tych danych. Nie jestem programistą złośliwego oprogramowania, ale nie widzę powodu, dla którego nie mógłbym tego zrobić.Po zeskanowaniu narzędzia IE PassView przy użyciu programu Virus Total można zauważyć, że 55% skanerów, których używają, wykrywa złośliwe oprogramowanie( jednym z nich jest Security Essentials).
Podczas gdy w naszym przypadku wynik jest fałszywy pozytywny, pokazuje to, że możliwe jest, aby kawałek złośliwego oprogramowania miał dostęp do tych danych, nawet jeśli system uruchomi antywirus. Ponadto, ponieważ zaszyfrowane dane są specyficzne dla użytkownika, żaden monit UAC nie zostanie wywołany przez aplikację próbującą uzyskać dostęp do tych danych. Przed myśleniem, jest to usterka systemu operacyjnego, tak naprawdę musi być inaczej, ponieważ IE i wiele innych aplikacji Windows, które wykorzystują chronioną pamięć, uruchamiałby monit UAC przy każdym otwarciu.
Co, jeśli mój komputer zostanie skradziony?
Prostą odpowiedzią jest to, że dane są tak bezpieczne, jak hasło do konta Windows. Jak pokazano powyżej, po zalogowaniu się na konto przy użyciu odpowiedniego hasła wszystkie te dane są łatwo dostępne. Jeśli nie używasz hasła, nie masz żadnej ochrony.
Aby zrobić to o krok dalej, wykonałem reset hasła do konta, aby zobaczyć, co stanie się, gdy hasło zostanie wymuszone poza systemem Windows. Po zresetowaniu zapisałem nowe hasło do adresu Gmaila( blah @) i uruchomiłem IE PassView. Mogłem zobaczyć poprzednią nazwę użytkownika( myemail @), która została zapisana przed zresetowaniem hasła, ale ponieważ hasła do konta( tj. "Hasło główne") użyte do zapisania danych są różne, nie było możliwe odszyfrowanie IEhasło zapisane pod poprzednim hasłem do konta Windows. To zdecydowanie dobra rzecz.
Wniosek
Pod koniec dnia bezpieczeństwo twoich zapisanych haseł IE zależy całkowicie od użytkownika:
- Użyj bardzo silnego hasła do konta systemu Windows. Należy pamiętać, że istnieją narzędzia, które mogą odszyfrować hasła systemu Windows. Jeśli ktoś otrzyma hasło do konta Windows, będzie miał dostęp do zapisanych haseł IE.
- Chroń się przed złośliwym oprogramowaniem. Jeśli narzędzia są w stanie łatwo uzyskać dostęp do zapisanych haseł, dlaczego nie można używać złośliwego oprogramowania?
- Zapisz swoje hasła w systemie zarządzania hasłami, takim jak KeePass. Oczywiście tracisz możliwość automatycznego wypełniania haseł przez przeglądarkę.
- Użyj narzędzia innej firmy, które integruje się z IE i używa hasła głównego do zarządzania hasłami.
- Zaszyfruj cały dysk twardy za pomocą TrueCrypt. Jest to całkowicie opcjonalne i bardzo ochronne, ale jeśli ktoś nie może odszyfrować dysku, z pewnością może coś z niego zrobić.
Oczywiście, że oba te elementy są oczywiste, ale to tylko wzmacnia znaczenie podjęcia kroków w celu zapewnienia bezpieczeństwa systemu.
Pobierz IE PassView z NirSoft