Hvor sikker er dine lagrede Internet Explorer-passord?
En av de mest praktiske verktøyene som nettlesere tilbyr, er muligheten til å lagre og automatisk fylle inn passordene dine på påloggingsskjemaene. Fordi så mange nettsteder krever kontoer, og det er velkjent (eller burde være minst) at bruk av et delt passord er et stort nei, en passordbehandling er nesten avgjørende.
Så hvis du er en IE-bruker og svar "ja" for å la nettleseren huske passordet ditt, hvor sikker er denne informasjonen?
Hvor er de reddet?
Når du starter i Internet Explorer 7, lagres passordet i systemregistret (KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) og kryptert mot Windows-brukerens påloggingspassord ved hjelp av databeskyttelses-API som bruker Triple DES-kryptering.
Hvor sikre er disse dataene?
På tidspunktet for denne skrivingen er Triple DES praktisk talt ubrydelig gjennom brute force-metoder. Men det er egentlig ikke et behov for å brute tvinge krypteringen når du er logget inn på Windows-kontoen der passorddataene dine er lagret som Windows antar at en gang logget på det er trygt for programmer å få tilgang til disse dataene. Som et resultat av at IE ikke bruker et hovedpassord (for eksempel hva Firefox tilbyr) for å beskytte sine lagrede passord, er det respektive Windows-passordet Triple DEC-dekrypteringsnøkkelen.
Enkelt sagt, hvis du kan logge på Windows med kontoen og passordet, kan du se de lagrede nettleserpassordene. Ved hjelp av et fritt tilgjengelig verktøy, for eksempel NirSoft's IE PassView, kan du se og eksportere alle lagrede IE-passord.
Så kan skadelig programvare få tilgang til dette?
Etter å se hvor lett det er å komme til disse dataene, er det neste logiske spørsmålet at malware lett kan komme til disse dataene. Jeg er ikke en malwareutvikler, men jeg ser ingen grunn til at det ikke kan. Hvis jeg skanner IE PassView-verktøyet ved hjelp av Virus Total, kan du se 55% av skannerne de bruker, det er skadelig programvare (hvorav en er Security Essentials).
Selv om resultatet er falskt positivt, viser dette at det er mulig for et stykke malware å få tilgang til disse dataene, uoppdaget, selv når systemet kjører anti-virus. I tillegg, fordi de krypterte dataene er brukersspesifikke, vil ingen UAC-spørring bli utløst av et program som prøver å få tilgang til disse dataene. Før du tenker på dette er en feil i operativsystemet, er dette virkelig slik det må være ellers IE og en rekke andre Windows-programmer som bruker beskyttet lagring, ville utløse en UAC-prompt hver gang de åpnet.
Hva om datamaskinen min blir stjålet?
Det enkle svaret er at disse dataene er like sikre som ditt Windows-passord. Som vi har vist ovenfor, når du logger deg på kontoen ved hjelp av riktig passord, er alle disse dataene lett tilgjengelige. Hvis du ikke bruker noe passord, har du ingen beskyttelse.
For å ta dette et skritt videre, gjorde jeg en tilbakestilling av kontospassordet for å se hva som ville skje når passordet ble kraftig endret utenfor Windows. Etter tilbakestillingen lagret jeg et nytt Gmail-passord (blah @) og kjørte IE PassView. Jeg kunne se forrige brukernavn (myemail @) som ble lagret før passordet ble tilbakestilt, men fordi kontopassordene (dvs. "masterpassordet") som brukes til å lagre dataene, er forskjellige, var det ikke mulig å dekryptere IE passord lagret under det forrige Windows-passordet. Dette er definitivt en god ting.
Konklusjon
På slutten av dagen avhenger sikkerheten til dine IE-lagrede passord helt på brukeren:
- Bruk et veldig sterkt Windows-passord. Husk, det er verktøy som kan dechiffrere Windows-passord. Hvis noen får ditt Windows-passord, har de tilgang til de lagrede IE-passordene dine.
- Beskytt deg mot skadelig programvare. Hvis verktøyene har lett tilgang til de lagrede passordene dine, hvorfor kan det ikke være skadelig programvare?
- Lagre passordene dine i et passordstyringssystem som KeePass. Selvfølgelig, du mister bekvemmeligheten av å ha nettleseren automatisk fylle passordene dine.
- Bruk et tredjepartsverktøy som integreres med IE og bruker et hovedpassord for å administrere passordene dine.
- Krypter hele harddisken din ved hjelp av TrueCrypt. Dette er helt valgfritt og for ultra-beskyttende, men hvis noen ikke kan dekryptere stasjonen, kan de sikkert få noe ut av det.
Selvfølgelig er begge disse uten å si, men dette forsterker bare viktigheten av å ta skritt for å holde systemet sikkert.
Last ned IE PassView fra NirSoft