5Jul
Jednou z najvhodnejších nástrojov na vyhľadávanie prehliadačov je možnosť uložiť a automaticky naplniť vaše heslá na prihlasovacích formulároch. Pretože toľko webových stránok vyžaduje účty a je všeobecne známe( alebo by malo byť aspoň), že používanie zdieľaného hesla je veľkým nie-nie, správca hesiel je takmer nevyhnutný.
Takže ak ste používateľom IE a odpovedáte "áno", aby ste prehliadač mohli zapamätať vaše heslo, ako sú tieto informácie bezpečné?
Kde sú uložené?
Počínajúc programom Internet Explorer 7 sa heslo uložené v registri systému( KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) a zakódované proti prihlasovaciemu heslu používateľa Windows pomocou rozhrania API ochrany údajov, ktoré využíva šifrovanie Triple DES.
Ako bezpečné sú tieto údaje?
V čase tohto písania je trojitý DES prakticky nerozbitný metódami hrubej sily. Avšak v skutočnosti nie je potrebné robiť silné šifrovanie po prihlásení do účtu Windows, kde sú uložené vaše heslá, pretože systém Windows predpokladá, že po prihlásení je pre aplikácie bezpečné prístup k týmto údajom. V dôsledku toho, že IE nepoužíva hlavné heslo( ako napríklad to, čo Firefox ponúka) na ochranu svojich uložených hesiel, príslušným heslom účtu Windows je trojblokový DES dešifrovací kľúč.
Jednoducho povedané, ak sa môžete prihlásiť do systému Windows pomocou účtu a hesla, uvidíte uložené heslá prehliadača. Pomocou voľne dostupného nástroja, ako je IE PassView aplikácie NirSoft, môžete zobraziť a exportovať každé uložené heslo IE.
Takže môže k nemu pristupovať malware?
Po zistení, aké ľahké je dostať sa k týmto údajom, je ďalšou logickou otázkou, či sa k týmto údajom ľahko dostane malware. Nie som vývojár škodlivého softvéru, ale nevidím žiadny dôvod, prečo by to nemohol. Ak skenujem nástroj IE PassView pomocou programu Virus Total, môžete vidieť, že 55% skenerov, ktoré používajú, zisťuje, že ide o škodlivý softvér( jeden z nich je Security Essentials).
Zatiaľ čo v našom prípade je výsledok falošne pozitívny, ukazuje to, že je možné, aby sa malware dostal k týmto údajom nezistiteľným ani vtedy, keď systém beží antivírusom. Navyše, pretože šifrované dáta sú špecifické pre používateľa, žiadna výzva nástroja UAC sa nespustí aplikáciou, ktorá sa snaží získať prístup k týmto údajom. Predtým, ako si myslíte, že ide o chybu v operačnom systéme, je to naozaj tak, ako to musí byť inak IE a množstvo ďalších aplikácií systému Windows, ktoré využívajú chránené úložné zariadenia, by spustili výzvu UAC zakaždým, keď sa otvorili.
Čo keď je ukradnutý počítač?
Jednoduchá odpoveď je, že tieto údaje sú rovnako bezpečné ako vaše heslo účtu Windows. Ako sme už ukázali, pri prihlásení do účtu pomocou príslušného hesla sú všetky tieto údaje ľahko dostupné.Ak nepoužívate žiadne heslo, nemáte žiadnu ochranu.
Aby som to urobil o krok ďalej, urobil som reset hesla účtu, aby som zistil, čo sa stane, keď bolo heslo nútene zmenené mimo systému Windows. Po obnovení som uložil nové heslo pre adresu služby Gmail( blah @) a spustil IE PassView. Bol som schopný vidieť predchádzajúce užívateľské meno( myemail @), ktoré bolo uložené pred obnovením hesla, ale pretože heslá účtu( tj "hlavné heslo") použité na uloženie údajov sú iné, nebolo možné dešifrovať IEheslo uložené pod predchádzajúcim heslom účtu Windows. To je určite dobrá vec.
Záver
Na konci dňa bezpečnosť vašich IE uložených hesiel úplne závisí od užívateľa:
- Použite veľmi silné heslo účtu Windows. Majte na pamäti, že existujú nástroje, ktoré môžu dešifrovať heslá Windows. Ak niekto dostane vaše heslo účtu Windows, potom má prístup k vašim uloženým heslam IE.
- Chráňte sa pred škodlivým softvérom. Ak pomôcky sú schopné ľahko pristupovať k vašim uloženým heslám, prečo to nie je škodlivý softvér?
- Uložte svoje heslá do systému na správu hesiel, ako je KeePass. Samozrejme, strácate pohodlie prehliadača automaticky vyplniť heslá.
- Použite nástroj tretej strany, ktorý sa integruje s IE a používa hlavné heslo na správu hesiel.
- Šifrovať celý pevný disk pomocou programu TrueCrypt. To je úplne voliteľné a pre ultra ochranný, ale ak niekto nemôže dešifrovať váš disk, oni určite môžu dostať niečo z toho.
Samozrejme, obidva tieto sú samozrejme, ale to len posilňuje dôležitosť krokov na udržanie vášho systému bezpečný.
Stiahnite si IE PassView od spoločnosti NirSoft