A böngészők egyik legkényelmesebb eszköze az a lehetőség, hogy mentse és automatikusan kitöltse a jelszavakat a bejelentkezési űrlapokon. Mivel nagyon sok webhelyhez fiók szükséges, és köztudott (vagy legalábbis annak kell lennie), hogy a megosztott jelszó használata nagy nem-nem, a jelszókezelő szinte elengedhetetlen.
Tehát ha Ön IE-felhasználó és „igen” választ ad, hogy a böngésző emlékezzen a jelszavára, mennyire biztonságos ez az információ?
Hol vannak mentve?
Az Internet Explorer 7-től kezdődően a jelszavakat a rendszer-nyilvántartásban (KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) tárolják, és a Windows felhasználói bejelentkezési jelszóval titkosítják az Adatvédelmi API segítségével, amely a Triple DES titkosítást használja.
Mennyire biztonságosak ezek az adatok?
Az írás idején a Triple DES gyakorlatilag törhetetlen a nyers erő módszerével. Azonban valóban nincs szükség a titkosítás kényszerítésére, miután bejelentkezett a Windows-fiókba, ahol a jelszóadatokat tárolja, mivel a Windows feltételezi, hogy a bejelentkezés után az alkalmazások biztonságosan elérhetik ezeket az adatokat. Ennek eredményeként, amikor az IE nem használt fő jelszót (például a Firefox által kínáltakat) a mentett jelszavak védelmére, a megfelelő Windows-fiók jelszava a Triple DES visszafejtő kulcs.
Egyszerűen fogalmazva, ha a fiókkal és jelszóval bejelentkezhet a Windows rendszerbe, láthatja a mentett böngésző jelszavakat. Egy szabadon elérhető segédprogram, például a NirSoft IE PassView segítségével minden megmentett IE jelszót megtekinthet és exportálhat.
Tehát a rosszindulatú programok hozzáférhetnek ehhez?
Miután látta, milyen könnyű hozzájutni ezekhez az adatokhoz, a következő logikus kérdés az, hogy a rosszindulatú programok könnyen eljuthatnak-e ezekhez az adatokhoz. Nem vagyok rosszindulatú program-fejlesztő, de nem látok semmilyen okot, amiért nem lehetne. Ha az IE PassView segédprogramot a Virus Total segítségével vizsgálom, láthatja Az általuk használt szkennerek 55% -a rosszindulatú programot észlel (amelyek egyike a Biztonsági alapok).
Noha esetünkben az eredmény hamis pozitív, ez azt mutatja, hogy egy rosszindulatú programnak akkor is lehetősége van észrevétlenül hozzáférni ezekhez az adatokhoz, ha a rendszer vírusirtót futtat. Továbbá, mivel a titkosított adatok felhasználóspecifikusak, ezért az UAC-parancsot nem indítja el egy alkalmazás, amely megpróbálja elérni ezeket az adatokat. Mielőtt azt gondolnánk, hogy ez hibás az operációs rendszerben, valóban így kell lennie, különben az IE, és számos más Windows alkalmazás, amely a védett tárhelyet használja, minden megnyitásakor UAC parancsot indít.
Mi van, ha ellopják a számítógépemet?
Az egyszerű válasz az, hogy ezek az adatok ugyanolyan biztonságosak, mint a Windows-fiók jelszavai. Amint a fentiekben bemutattuk, amikor a megfelelő jelszóval jelentkezik be a fiókba, ezek az adatok könnyen hozzáférhetők. Ha nem használ jelszót, akkor nincs védelme.
Hogy ezt egy lépéssel tovább tegyem, megtettem a a fiók jelszavának visszaállítása hogy mi történik, ha a jelszót erőteljesen megváltoztatják a Windows rendszeren kívül. A visszaállítás után elmentettem egy új Gmail-cím jelszót (blah @), és futtattam az IE PassView-t. Láttam az előző felhasználói nevet (myemail @), amelyet a jelszó visszaállítása előtt mentettek el, de mivel az adatok mentéséhez használt fiók jelszavak (azaz „fő jelszó”) eltérőek, nem tudta visszafejteni az IE-t az előző Windows-fiók jelszavával mentett jelszó. Ez mindenképpen jó dolog.
Következtetés
A nap végén az IE által mentett jelszavak biztonsága teljesen a felhasználótól függ:
- Használjon nagyon erős Windows-fiók jelszót. Ne feledje, vannak segédprogramok, amelyek képesek megfejteni a Windows jelszavakat . Ha valaki megkapja a Windows-fiók jelszavát, akkor hozzáférhet a mentett IE jelszavakhoz.
- Védje meg magát a rosszindulatú programokkal szemben. Ha a segédprogramok könnyen hozzáférhetnek a mentett jelszavakhoz, miért nem tudnak rosszindulatú programok?
- Mentse a jelszavakat egy jelszókezelő rendszerbe, például a KeePass-ba. Természetesen elveszíti annak kényelmét, hogy a böngésző automatikusan kitölti a jelszavakat.
- Használjon egy harmadik fél segédprogramot, amely integrálódik az IE-hez, és fő jelszóval kezeli a jelszavakat.
- Titkosítsa a teljes merevlemezt a TrueCrypt használatával. Ez teljesen opcionális és az ultravédő, de ha valaki nem tudja visszafejteni a meghajtót, akkor biztosan bármit kihozhat belőle.
Természetesen mindkettő magától értetődik, de ez csak megerősíti a rendszer biztonságának megőrzéséhez szükséges lépések fontosságát.
