Eines der bequemsten Tools, die Browser anbieten, ist die Möglichkeit, Ihre Passwörter in Anmeldeformularen zu speichern und automatisch vorab auszufüllen. Da für so viele Websites Konten erforderlich sind und bekannt ist (oder zumindest sein sollte), dass die Verwendung eines freigegebenen Kennworts ein großes Nein-Nein ist, ist ein Kennwortmanager fast unerlässlich.
Wenn Sie ein IE-Benutzer sind und mit "Ja" antworten, damit sich der Browser Ihr Passwort merken kann, wie sicher sind diese Informationen?
Wo werden sie gerettet?
Ab Internet Explorer 7 werden Kennwörter in der Systemregistrierung (KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) gespeichert und mithilfe der Datenschutz-API, die Triple DES-Verschlüsselung verwendet, mit dem Anmeldekennwort des Windows-Benutzers verschlüsselt.
Wie sicher sind diese Daten?
Zum Zeitpunkt dieses Schreibens ist Triple DES durch Brute-Force-Methoden praktisch unzerbrechlich. Es ist jedoch nicht unbedingt erforderlich, die Verschlüsselung brutal zu erzwingen, sobald Sie bei dem Windows-Konto angemeldet sind, in dem Ihre Kennwortdaten gespeichert sind, da Windows davon ausgeht, dass Anwendungen nach dem Anmelden sicher auf diese Daten zugreifen können. Da der IE kein Hauptkennwort verwendet (z. B. das, was Firefox anbietet), um seine gespeicherten Kennwörter zu schützen, ist das entsprechende Kennwort für das Windows-Konto der Triple DES-Entschlüsselungsschlüssel.
Einfach ausgedrückt, wenn Sie sich mit dem Konto und dem Kennwort bei Windows anmelden können, werden die gespeicherten Browserkennwörter angezeigt. Mit einem frei verfügbaren Dienstprogramm wie NirSofts IE PassView können Sie jedes gespeicherte IE-Passwort anzeigen und exportieren.
Kann Malware darauf zugreifen?
Nachdem Sie gesehen haben, wie einfach es ist, auf diese Daten zuzugreifen, ist die nächste logische Frage, ob Malware leicht auf diese Daten zugreifen kann. Ich bin kein Malware-Entwickler, sehe aber keinen Grund dafür. Wenn ich das IE PassView-Dienstprogramm mit Virus Total scanne, können Sie sehen 55% der von ihnen verwendeten Scanner erkennen, dass es sich um Malware handelt (Eines davon ist Security Essentials).
In unserem Fall ist das Ergebnis zwar falsch positiv, dies zeigt jedoch, dass eine Malware möglicherweise unerkannt auf diese Daten zugreifen kann, selbst wenn das System Antivirenprogramme ausführt. Da die verschlüsselten Daten benutzerspezifisch sind, wird von einer Anwendung, die versucht, auf diese Daten zuzugreifen, keine UAC-Eingabeaufforderung ausgelöst. Bevor man denkt, dass dies ein Fehler im Betriebssystem ist, muss es wirklich so sein, sonst würde der IE und eine Vielzahl anderer Windows-Anwendungen, die den geschützten Speicher verwenden, bei jedem Öffnen eine UAC-Eingabeaufforderung auslösen.
Was ist, wenn mein Computer gestohlen wird?
Die einfache Antwort lautet: Diese Daten sind so sicher wie Ihr Windows-Kontokennwort. Wie oben gezeigt, sind alle diese Daten leicht zugänglich, wenn Sie sich mit dem entsprechenden Passwort in das Konto einloggen. Wenn Sie kein Passwort verwenden, haben Sie keinen Schutz.
Um noch einen Schritt weiter zu gehen, habe ich a Zurücksetzen des Kontopassworts um zu sehen, was passieren würde, wenn das Kennwort außerhalb von Windows zwangsweise geändert würde. Nach dem Zurücksetzen habe ich ein neues Kennwort für die Google Mail-Adresse (blah @) gespeichert und IE PassView ausgeführt. Ich konnte den vorherigen Benutzernamen (myemail @) sehen, der vor dem Zurücksetzen des Kennworts gespeichert wurde. Da jedoch die zum Speichern der Daten verwendeten Kontokennwörter (dh das „Hauptkennwort“) unterschiedlich sind, konnte der IE nicht entschlüsselt werden Kennwort, das unter dem vorherigen Windows-Kontokennwort gespeichert wurde. Das ist definitiv eine gute Sache.
Fazit
Letztendlich hängt die Sicherheit Ihrer im Internet Explorer gespeicherten Passwörter vollständig vom Benutzer ab:
- Verwenden Sie ein sehr sicheres Windows-Kontokennwort. Denken Sie daran, es gibt Dienstprogramme, die Windows-Kennwörter entschlüsseln können . Wenn jemand Ihr Windows-Kontokennwort erhält, hat er Zugriff auf Ihre gespeicherten IE-Kennwörter.
- Schützen Sie sich vor Malware. Wenn Dienstprogramme problemlos auf Ihre gespeicherten Kennwörter zugreifen können, warum kann Malware dann nicht verwendet werden?
- Speichern Sie Ihre Passwörter in einem Passwortverwaltungssystem wie KeePass. Natürlich verlieren Sie den Komfort, dass der Browser Ihre Passwörter automatisch ausfüllt.
- Verwenden Sie ein Dienstprogramm eines Drittanbieters, das in den IE integriert ist und ein Hauptkennwort zum Verwalten Ihrer Kennwörter verwendet.
- Verschlüsseln Sie Ihre gesamte Festplatte mit TrueCrypt. Dies ist völlig optional und für den Ultra-Schutz, aber wenn jemand Ihr Laufwerk nicht entschlüsseln kann, kann er mit Sicherheit etwas davon abbekommen.
Natürlich sind beide selbstverständlich, aber dies unterstreicht nur die Wichtigkeit, Schritte zu unternehmen, um Ihr System sicher zu halten.
