5Jul

Quão seguras são suas senhas do Internet Explorer salvas?

Uma das ferramentas mais úteis que os navegadores oferecem é a capacidade de salvar e preencher automaticamente suas senhas nos formulários de login. Porque tantos sites requerem contas e é bem conhecido( ou deve ser pelo menos) que usar uma senha compartilhada é um não-não grande, um gerenciador de senhas é quase essencial.

Então, se você é um usuário do IE e responde "sim" para permitir que o navegador se recorde sua senha, quão segura é essa informação?

Onde eles são salvos?

A partir do Internet Explorer 7, a senha é armazenada no registro do sistema( KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) e criptografada contra a senha de login do usuário do Windows usando a API de proteção de dados que utiliza a encriptação Triple DES.

Como é seguro esses dados?

No momento da redação, o Triple DES é praticamente inquebrável através de métodos de força bruta. No entanto, não há realmente necessidade de brutar forçar a criptografia quando você estiver logado na conta do Windows, onde seus dados de senha são armazenados, pois o Windows faz a suposição que, uma vez que foi logado, é seguro para que os aplicativos acessem esses dados. Como o IE não utiliza uma senha mestre( como o que o Firefox oferece) para proteger suas senhas salvas, a respectiva senha da conta do Windows é a chave de descriptografia Triple DES.

Simplificando, se você pode fazer login no Windows com a conta e a senha, poderá ver as senhas do navegador salvas. Usando um utilitário livremente disponível, como o IE PassView do NirSoft, você pode visualizar e exportar todas as senhas de IE salvas.

Então o malware pode acessar isso?

Depois de ver como é fácil chegar a esses dados, a próxima questão lógica é que o malware pode chegar facilmente a esses dados. Eu não sou um desenvolvedor de malware, mas não vejo nenhuma razão que não poderia. Se eu verificar o utilitário IE PassView usando o Virus Total, você pode ver 55% dos scanners que eles usam, detectando que é um malware( um dos quais é o Security Essentials).

Enquanto no nosso caso o resultado é um falso positivo, isso mostra que é possível que um malware atinja esses dados não detectados mesmo quando o sistema funciona com antivírus. Além disso, porque os dados criptografados são específicos do usuário, nenhum prompt UAC será acionado por um aplicativo tentando acessar esses dados. Antes de pensar que isso é uma falha no sistema operacional, esta é realmente a maneira como ele deve ser de outra forma o IE e uma série de outras aplicações do Windows que utilizam o armazenamento protegido desencadeariam um prompt UAC sempre que eles abrirem.

E se o meu computador for roubado?

A resposta simples é que esses dados são tão seguros quanto a senha da sua conta do Windows. Como mostramos acima, quando você faz login na conta usando a senha apropriada, todos esses dados são facilmente acessíveis. Se você não usa senha, não possui proteção.

Para dar um passo adiante, fiz uma reinicialização da senha da conta para ver o que aconteceria quando a senha foi alterada com força fora do Windows. Após a reinicialização, eu salvei uma nova senha de endereço do Gmail( blah @) e executei o IE PassView. Pude ver o nome de usuário anterior( myemail @) que foi salvo antes que a senha fosse reiniciada, mas porque as senhas de conta( ou seja, "senha mestre") usadas para salvar os dados são diferentes, não foi possível descriptografar o IEsenha salva sob a senha da conta anterior do Windows. Isso definitivamente é uma coisa boa.

Conclusão

No final do dia, a segurança de suas senhas de salvamento IE depende totalmente do usuário:

  • Use uma senha de conta de Windows muito forte. Tenha em mente, existem utilitários que podem decifrar as senhas do Windows. Se alguém receber a senha da sua conta do Windows, eles têm acesso a suas senhas de IE salvas.
  • Proteja-se contra o malware. Se os utilitários puderem acessar facilmente suas senhas salvas, por que o malware não pode?
  • Salve suas senhas em um sistema de gerenciamento de senhas, como o KeePass. Claro, você perde a conveniência de ter o navegador preencher automaticamente suas senhas.
  • Use um utilitário de terceiros que se integre com o IE e use uma senha mestre para gerenciar suas senhas.
  • Criptografar todo o disco rígido usando o TrueCrypt. Isso é completamente opcional e para os ultra protetores, mas se alguém não pode decifrar seu disco, eles certamente podem tirar tudo.

Claro que ambos não vão dizer, mas isso apenas reforça a importância de tomar medidas para manter seu sistema seguro.

Faça o download do IE PassView da NirSoft