Jedním z nejpohodlnějších nástrojů, které prohlížeče nabízejí, je schopnost ukládat a automaticky předvyplňovat hesla ve přihlašovacích formulářích. Protože tolik webů vyžaduje účty a je dobře známo (nebo by mělo být alespoň), že používání sdíleného hesla je velké ne-ne, je správce hesel téměř nezbytný.
Jak jste tedy uživatelé IE a odpověděli „ano“, aby si prohlížeč mohl zapamatovat vaše heslo, jak bezpečné jsou tyto informace?
Kde jsou uloženy?
Počínaje prohlížečem Internet Explorer 7 se hesla ukládají do systémového registru (KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) a šifrují se proti přihlašovacímu heslu uživatele systému Windows pomocí rozhraní Data Protection API, které využívá šifrování Triple DES.
Jak bezpečná jsou tato data?
V době psaní tohoto článku je Triple DES prakticky nerozbitný pomocí metod hrubou silou. Po přihlášení do účtu Windows, kde jsou uložena data vašeho hesla, není opravdu nutné hrubou silou šifrování, protože systém Windows předpokládá, že po přihlášení je pro aplikace bezpečný přístup k těmto datům. V důsledku toho, že IE k ochraně svých uložených hesel nepoužívá hlavní heslo (například to, co nabízí Firefox), je příslušným heslem účtu Windows dešifrovací klíč Triple DES.
Jednoduše řečeno, pokud se do systému Windows můžete přihlásit pomocí účtu a hesla, uvidíte uložená hesla prohlížeče. Pomocí volně dostupného nástroje, jako je například NirSoft IE PassView, můžete zobrazit a exportovat každé uložené heslo IE.
Může k tomu tedy malware získat přístup?
Poté, co jsme viděli, jak snadné je se k těmto datům dostat, je další logickou otázkou, zda se malware k těmto datům snadno dostane. Nejsem vývojář malwaru, ale nevidím žádný důvod, proč by nemohl. Pokud skenuji nástroj IE PassView pomocí Virus Total, uvidíte 55% skenerů, které používají, zjistilo, že jde o malware (jedním z nich je Security Essentials).
Zatímco v našem případě je výsledek falešně pozitivní, ukazuje to, že je možné, aby malware k těmto datům přistoupil nezjištěný, i když je v systému spuštěn antivirový program. Kromě toho, protože šifrovaná data jsou specifická pro uživatele, aplikace, která se pokouší o přístup k těmto datům, nebude spuštěna žádná výzva UAC. Než si pomyslíme, že se jedná o chybu v OS, je to opravdu tak, jak to musí být, jinak by IE a řada dalších aplikací pro Windows, které využívají chráněné úložiště, vyvolala výzvu UAC při každém otevření.
Co když mi ukradnou počítač?
Jednoduchá odpověď je, že tato data jsou stejně bezpečná jako heslo k účtu Windows. Jak jsme ukázali výše, při přihlášení k účtu pomocí příslušného hesla jsou všechna tato data snadno přístupná. Pokud nepoužíváte žádné heslo, nemáte žádnou ochranu.
Abych to posunul o krok dále, udělal jsem a reset hesla k účtu abychom zjistili, co by se stalo, kdyby došlo k násilné změně hesla mimo Windows. Po resetování jsem uložil nové heslo k adrese Gmailu (blah @) a spustil IE PassView. Viděl jsem předchozí uživatelské jméno (myemail @), které bylo uloženo před resetováním hesla, ale protože hesla účtu (tj. „Hlavní heslo“) použitá k uložení dat jsou různá, nebyl jsem schopen dešifrovat IE heslo uložené pod předchozím heslem účtu Windows. To je určitě dobrá věc.
Závěr
Na konci dne zabezpečení vašich uložených hesel IE zcela závisí na uživateli:
- Použijte velmi silné heslo k účtu Windows. Mějte na paměti, že existují nástroje, které mohou dešifrovat hesla systému Windows . Pokud někdo dostane heslo k vašemu účtu Windows, má přístup k vašim uloženým heslům IE.
- Chraňte se před malwarem. Pokud nástroje mají snadný přístup k uloženým heslům, proč nemůže malware?
- Uložte si hesla do systému pro správu hesel, jako je KeePass. Samozřejmě přijdete o to, že prohlížeč automaticky vyplní vaše hesla.
- Použijte nástroj třetí strany, který se integruje s IE a ke správě hesel používá hlavní heslo.
- Šifrujte celý svůj pevný disk pomocí TrueCrypt. To je zcela volitelné a pro ultra ochrannou, ale pokud někdo nemůže dešifrovat váš disk, určitě z toho může mít cokoli.
Oba jsou samozřejmě samozřejmostí, ale to jen posiluje důležitost podniknutí kroků k zabezpečení vašeho systému.
