5Jul

Hur säkra är dina sparade Internet Explorer-lösenord?

Ett av de mest praktiska verktygen som webbläsare erbjuder är möjligheten att spara och automatiskt fylla i dina lösenord på inloggningsformulär. Eftersom så många webbplatser kräver konton och det är välkänt( eller borde vara minst) att använda ett gemensamt lösenord är ett stort nej, en lösenordshanterare är nästan nödvändig.

Så om du är en IE-användare och svara "ja" så att webbläsaren kan komma ihåg ditt lösenord, hur säker är den här informationen?

Var lagras de?

Från Internet Explorer 7 lagras lösenord i systemregistret( KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) och krypteras mot Windows-användarens inloggnings lösenord med dataskydd API som använder Triple DES-kryptering.

Hur säker är denna data?

Vid tidpunkten för detta skrivande är Triple DES praktiskt taget oföränderlig genom brute force-metoder. Det är emellertid verkligen inget behov av att brute tvinga krypteringen när du är inloggad på Windows-kontot där dina lösenordsdata lagras som Windows antar att en gång inloggad det är säkert för applikationer att komma åt dessa data. Som ett resultat av att IE inte använder ett huvudlösenord( t.ex. vad Firefox erbjuder) för att skydda sina sparade lösenord är respektive lösenord för Windows-kontot Triple DES-dekrypteringsnyckeln.

Enkelt uttryckt, om du kan logga in på Windows med kontot och lösenordet kan du se de sparade webbläsarens lösenord. Med hjälp av ett fritt tillgängligt verktyg som NirSoft's IE PassView kan du visa och exportera alla sparade IE-lösenord.

Så kan skadlig programvara få tillgång till detta?

Efter att ha sett hur lätt det är att komma till dessa data, är nästa logiska fråga kan skadlig kod enkelt komma till dessa data. Jag är ingen malwareutvecklare, men jag ser ingen anledning att det inte kunde. Om jag skannar IE PassView-verktyget med Virus Total kan du se 55% av de skannrar som de använder upptäcker att det är skadlig programvara( varav en är Security Essentials).

I vårt fall är resultatet ett falskt positivt, vilket visar att det är möjligt för en del av skadlig programvara att få tillgång till denna information oupptäckt även när systemet kör anti-virus. Dessutom, eftersom den krypterade data är användarspecifik kommer ingen UAC prompt att utlösas av en applikation som försöker få åtkomst till denna data. Innan du tänker på detta är ett fel i operativsystemet, så är det verkligen det sätt som det måste vara annars. IE och en mängd andra Windows-applikationer som använder den skyddade lagringen skulle utlösa en UAC-prompt varje gång de öppnades.

Vad händer om datorn är stulen?

Det enkla svaret är att dessa data är lika säkra som ditt lösenord för Windows-kontot. Som vi har visat ovan, när du loggar in på kontot med lämpligt lösenord är alla dessa data lättillgängliga. Om du inte använder något lösenord har du inget skydd.

För att ta det här ett steg längre gjorde jag en återställning av lösenordet för att se vad som skulle hända när lösenordet ändrats kraftigt utanför Windows. Efter återställningen sparade jag ett nytt Gmail-lösenord( blah @) och körde IE PassView. Jag kunde se det tidigare användarnamnet( myemail @) som sparades innan lösenordet återställdes, men eftersom lösenorden för kontot( dvs. "huvudlösenord") som används för att spara data är annorlunda, kunde den inte dekryptera IElösenord som sparats under det tidigare lösenordet för Windows-kontot. Detta är definitivt en bra sak.

Slutsats

I slutet av dagen är säkerheten för dina IE-sparade lösenord helt beroende av användaren:

  • Använd ett mycket starkt lösenord för Windows-kontot. Tänk på att det finns verktyg som kan dechifiera Windows-lösenord. Om någon får ditt lösenord för Windows-konto har de tillgång till dina sparade IE-lösenord.
  • Skydda dig mot skadlig kod. Om verktygen lätt kan komma åt dina sparade lösenord, varför kan inte skadlig programvara?
  • Spara dina lösenord i ett lösenordshanteringssystem som KeePass. Naturligtvis förlorar du bekvämligheten med att webbläsaren automatiskt fyller i dina lösenord.
  • Använd ett tredje partverktyg som integreras med IE och använder ett huvudlösenord för att hantera dina lösenord.
  • Kryptera hela hårddisken med TrueCrypt. Detta är helt frivilligt och för ultra-skyddande, men om någon inte kan dekryptera din enhet kan de säkert få något av det.

Självfallet går det självklart, men det förstärker bara vikten av att vidta åtgärder för att hålla systemet tryggt.

Hämta IE PassView från NirSoft