Ako sú zabezpečené vaše uložené heslá programu Internet Explorer?
Jedným z najvhodnejších nástrojov na vyhľadávanie prehliadačov je možnosť uložiť a automaticky predbežne vyplniť vaše heslá v prihlasovacích formulároch. Pretože toľko webových stránok vyžaduje účty a je všeobecne známe (alebo by malo byť aspoň), že používanie zdieľaného hesla je veľký nie-nie, správca hesiel je takmer nevyhnutný.
Takže ak ste používateľom IE a odpovedzte "áno", aby ste prehliadač mohli zapamätať vaše heslo, ako sú tieto informácie bezpečné?
Kde sú uložené?
Počínajúc programom Internet Explorer 7 sa v systémovom registri (KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) uloží hesla a zašifruje sa prihlasovacie heslo používateľa systému Windows pomocou rozhrania API na ochranu údajov, ktoré využíva šifrovanie Triple DES.
Ako sú tieto údaje bezpečné?
V čase tohto písania je trojitý DES prakticky nerozbitný metódami hrubej sily. Avšak v skutočnosti nie je potrebné robiť silné šifrovanie, akonáhle ste prihlásení do účtu Windows, kde sú uložené vaše heslá, pretože systém Windows predpokladá, že po prihlásení je pre aplikácie bezpečné prístup k týmto údajom. V dôsledku toho, že IE nevyužíva hlavné heslo (ako napríklad to, čo Firefox ponúka) na ochranu svojich uložených hesiel, je príslušným heslom účtu Windows kód Triple DES dešifrovania.
Jednoducho povedané, ak sa môžete prihlásiť do systému Windows pomocou účtu a hesla, uvidíte uložené heslá prehliadača. Pomocou voľne dostupného nástroja, ako napríklad programu IE PassView spoločnosti NirSoft, môžete zobraziť a exportovať každé uložené IE heslo.
Malo tak prístup k tomuto?
Po zistení, ako ľahké sa dostať k týmto údajom, ďalšou logickou otázkou je, že sa dá k týmto údajom ľahko dostať malware. Nie som vývojár škodlivého softvéru, ale nevidím žiadny dôvod, prečo by to nemohol. Ak skenujem nástroj IE PassView pomocou programu Virus Total, môžete vidieť, že 55% skenerov, ktoré používajú, zisťuje, že je to malware (jedným z nich je Security Essentials).
Zatiaľ čo v našom prípade je výsledok falošne pozitívny, ukazuje sa, že je možné, že malware prístup k týmto údajom nedôjde, aj keď systém beží antivírus. Okrem toho, pretože šifrované dáta sú špecifické pre používateľa, žiadna výzva nástroja UAC nebude spustená aplikáciou, ktorá sa pokúsi získať prístup k týmto údajom. Predtým, ako si myslíme, že ide o chybu v operačnom systéme, je to naozaj tak, ako to musí byť inak. IE a množstvo iných aplikácií systému Windows, ktoré využívajú chránené úložisko, by spustili výzvu UAC pri každom otvorení.
Čo keby bol počítač ukradnutý?
Jednoduchá odpoveď je, že tieto údaje sú rovnako bezpečné ako vaše heslo účtu Windows. Ako sme už ukázali, pri prihlásení do účtu pomocou vhodného hesla sú všetky tieto údaje ľahko dostupné. Ak nepoužívate žiadne heslo, nemáte žiadnu ochranu.
Aby som to urobil o krok ďalej, urobil som reset hesla účtu, aby som zistil, čo sa stane, keď bolo heslo nútene zmenené mimo systému Windows. Po obnovení som uložil nové heslo pre adresu služby Gmail (blah @) a spustil IE PassView. Bol som schopný vidieť predchádzajúce užívateľské meno (myemail @), ktoré bolo uložené pred obnovením hesla, ale preto, že heslá účtu (tj "hlavné heslo") použité na uloženie dát sú iné, nebolo možné dešifrovať IE heslo uložené pod predchádzajúcim heslom účtu Windows. To je určite dobrá vec.
záver
Na konci dňa bezpečnosť vašich IE uložených hesiel úplne závisí od používateľa:
- Použite veľmi silné heslo účtu Windows. Majte na pamäti, že existujú nástroje, ktoré môžu dešifrovať heslá Windows. Ak niekto dostane vaše heslo účtu Windows, potom má prístup k vašim uloženým heslam IE.
- Chráňte sa pred malware. Ak pomôcky sú schopné ľahko pristupovať k vašim uloženým heslám, prečo nemôže obsahovať škodlivý softvér?
- Heslá uložte v systéme správy hesiel, ako je KeePass. Samozrejme, strácate pohodlie pri automatickom načítaní hesla prehliadača.
- Použite nástroj tretej strany, ktorý sa integruje s IE a používa hlavné heslo na správu hesiel.
- Šifrujte celý pevný disk pomocou programu TrueCrypt. To je úplne voliteľné a pre ultra ochranný, ale ak niekto nemôže dešifrovať váš disk, určite môže dostať niečo z toho.
Samozrejme, obidva tieto sú samozrejmé, ale to len posilňuje dôležitosť krokov na udržanie vášho systému bezpečného.
Stiahnite si IE PassView od spoločnosti NirSoft