Jak bezpieczne są Twoje zapisane hasła do Internet Explorera?
Jedną z najwygodniejszych przeglądarek narzędziowych jest możliwość zapisywania i automatycznego wypełniania haseł w formularzach logowania. Ponieważ tak wiele witryn wymaga kont i jest dobrze znane (lub powinno być co najmniej), że używanie wspólnego hasła jest dużym nie-nie, menedżer haseł jest prawie niezbędny.
Więc jeśli jesteś użytkownikiem IE i odpowiadasz "tak", aby umożliwić przeglądarce zapamiętanie hasła, jak bezpieczne są te informacje?
Gdzie są zbawieni?
Począwszy od Internet Explorera 7 hasło jest przechowywane w rejestrze systemowym (KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) i szyfrowane hasłem logowania użytkownika Windows przy użyciu interfejsu Data Protection API, które wykorzystuje szyfrowanie Triple DES.
Jak bezpieczne są te dane?
W chwili pisania tego tekstu Triple DES jest praktycznie nie do złamania dzięki metodom brutalnej siły. Jednak naprawdę nie ma potrzeby, aby brutalnie wymuszać szyfrowanie po zalogowaniu do konta systemu Windows, na którym przechowywane są dane haseł, ponieważ system Windows zakłada, że po zalogowaniu jest bezpieczny dla aplikacji, aby uzyskać dostęp do tych danych. Ze względu na to, że IE nie używa hasła głównego (takiego jak Firefox) do ochrony zapisanych haseł, odpowiednie hasło do konta systemu Windows to klucz odszyfrowujący Triple DES.
Mówiąc najprościej, jeśli możesz zalogować się do systemu Windows przy użyciu konta i hasła, możesz zobaczyć zapisane hasła przeglądarki. Korzystając ze swobodnie dostępnego narzędzia, takiego jak IE PassView firmy NirSoft, można wyświetlać i eksportować każde zapisane hasło do IE.
Więc złośliwe oprogramowanie może to uzyskać?
Po dostrzeżeniu, jak łatwo jest dostać się do tych danych, kolejnym logicznym pytaniem jest to, czy złośliwe oprogramowanie łatwo może uzyskać dostęp do tych danych. Nie jestem programistą złośliwego oprogramowania, ale nie widzę powodu, dla którego nie mógłbym tego zrobić. Jeśli zeskanuj narzędzie IE PassView przy użyciu programu Virus Total, można zauważyć, że 55% skanerów, których używają, wykrywa złośliwe oprogramowanie (jednym z nich jest Security Essentials).
O ile w naszym przypadku wynik jest fałszywy pozytywny, pokazuje to, że możliwe jest, że jakiś złośliwy program będzie mógł uzyskać dostęp do tych danych, nawet jeśli system będzie działał w trybie antywirusowym. Ponadto, ponieważ zaszyfrowane dane są specyficzne dla użytkownika, żaden monit UAC nie zostanie wywołany przez aplikację próbującą uzyskać dostęp do tych danych. Zanim pomyślimy, jest to usterka w systemie operacyjnym, tak naprawdę musi być inaczej, ponieważ IE i wiele innych aplikacji Windows, które wykorzystują chronioną pamięć, wyzwalałoby monit UAC przy każdym otwarciu.
Co się stanie, jeśli mój komputer zostanie skradziony??
Prosta odpowiedź jest taka, że dane są równie bezpieczne, jak hasło do konta Windows. Jak pokazano powyżej, po zalogowaniu się na konto przy użyciu odpowiedniego hasła wszystkie te dane są łatwo dostępne. Jeśli nie używasz hasła, nie masz żadnej ochrony.
Aby zrobić to krok dalej, zresetowałem hasło do konta, aby zobaczyć, co stanie się, gdy hasło zostanie wymuszone poza systemem Windows. Po zresetowaniu zapisałem nowe hasło do adresu Gmaila (blah @) i uruchomiłem IE PassView. Mogłem zobaczyć poprzednią nazwę użytkownika (myemail @), która została zapisana przed zresetowaniem hasła, ale ponieważ hasła do konta (np. "Hasło główne") użyte do zapisania danych są różne, nie było możliwe odszyfrowanie IE hasło zapisane pod poprzednim hasłem do konta Windows. To zdecydowanie dobra rzecz.
Wniosek
Pod koniec dnia bezpieczeństwo twoich IE zapisanych haseł zależy całkowicie od użytkownika:
- Użyj bardzo silnego hasła do konta systemu Windows. Należy pamiętać, że istnieją narzędzia, które mogą odszyfrować hasła systemu Windows. Jeśli ktoś otrzyma hasło do konta Windows, będzie miał dostęp do zapisanych haseł IE.
- Chroń się przed złośliwym oprogramowaniem. Jeśli narzędzia są w stanie łatwo uzyskać dostęp do zapisanych haseł, dlaczego nie można złośliwego oprogramowania?
- Zapisz swoje hasła w systemie zarządzania hasłami, takim jak KeePass. Oczywiście tracisz możliwość automatycznego wypełniania haseł przez przeglądarkę.
- Użyj narzędzia innej firmy, które integruje się z IE i używa hasła głównego do zarządzania hasłami.
- Zaszyfruj cały dysk twardy za pomocą TrueCrypt. Jest to całkowicie opcjonalne i bardzo ochronne, ale jeśli ktoś nie może odszyfrować dysku, z pewnością może coś z niego zrobić.
Oczywiście obie te rzeczy są oczywiste, ale to tylko wzmacnia znaczenie podjęcia kroków w celu zapewnienia bezpieczeństwa systemu.
Pobierz IE PassView od NirSoft