Salah satu alat yang paling nyaman yang ditawarkan browser adalah kemampuan untuk menyimpan dan secara otomatis mengisi ulang kata sandi Anda pada formulir login. Karena begitu banyak situs memerlukan akun dan sudah diketahui (atau setidaknya harus) bahwa menggunakan kata sandi bersama adalah hal yang tidak-tidak, pengelola kata sandi hampir penting.
Jadi, jika Anda adalah pengguna IE dan menjawab "ya" untuk mengizinkan browser mengingat sandi Anda, seberapa aman informasi ini?
Dimana mereka diselamatkan?
Mulai dari Internet Explorer 7, kata sandi disimpan di registri sistem (KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) dan di-cache terhadap kata sandi login pengguna Windows menggunakan Data Protection API yang menggunakan enkripsi Triple DES.
Seberapa amankah data ini?
Pada saat penulisan ini, Triple DES praktis tidak dapat dipecahkan melalui metode kekerasan. Namun, sebenarnya tidak perlu memaksa enkripsi setelah Anda masuk ke akun Windows tempat data kata sandi Anda disimpan karena Windows membuat asumsi bahwa setelah masuk, itu aman bagi aplikasi untuk mengakses data ini. Karena IE tidak menggunakan kata sandi utama (seperti yang ditawarkan Firefox) untuk melindungi kata sandi yang disimpan, kata sandi akun Windows masing-masing adalah kunci dekripsi Triple DES.
Sederhananya, jika Anda dapat masuk ke Windows dengan akun dan kata sandi, Anda dapat melihat kata sandi browser yang disimpan. Dengan menggunakan utilitas yang tersedia secara gratis seperti NirSoft's IE PassView, Anda dapat melihat dan mengekspor setiap sandi IE yang disimpan.
Jadi bisakah malware mengakses ini?
Setelah melihat betapa mudahnya mendapatkan data ini, pertanyaan logis berikutnya adalah dapatkah malware dengan mudah mendapatkan data ini. Saya bukan pengembang perangkat lunak perusak, tetapi saya tidak melihat alasan mengapa tidak bisa. Jika saya memindai utilitas IE PassView menggunakan Total Virus, Anda dapat melihat 55% dari pemindai yang mereka gunakan mendeteksinya adalah malware (salah satunya adalah Security Essentials).
Meskipun dalam kasus kami, hasilnya adalah positif palsu, ini menunjukkan bahwa ada kemungkinan malware mengakses data ini tanpa terdeteksi bahkan ketika sistem menjalankan anti-virus. Selain itu, karena data yang dienkripsi adalah khusus pengguna, tidak ada permintaan UAC yang akan dipicu oleh aplikasi yang mencoba mengakses data ini. Sebelum berpikir ini adalah cacat dalam OS, ini benar-benar harus dilakukan jika tidak IE dan sejumlah aplikasi Windows lainnya yang memanfaatkan penyimpanan yang dilindungi akan memicu prompt UAC setiap kali dibuka.
Bagaimana jika komputer saya dicuri?
Jawaban sederhananya adalah data ini seaman kata sandi akun Windows Anda. Seperti yang telah kami tunjukkan di atas, ketika Anda masuk ke akun menggunakan kata sandi yang sesuai, semua data ini mudah diakses. Jika Anda tidak menggunakan kata sandi, Anda tidak memiliki perlindungan.
Untuk mengambil langkah lebih jauh, saya melakukan a setel ulang kata sandi akun untuk melihat apa yang akan terjadi jika kata sandi diubah secara paksa di luar Windows. Setelah reset, saya menyimpan password alamat Gmail baru (bla @) dan menjalankan IE PassView. Saya bisa melihat nama pengguna sebelumnya (myemail @) yang disimpan sebelum kata sandi disetel ulang, tetapi karena kata sandi akun (yaitu "kata sandi utama") yang digunakan untuk menyimpan data berbeda, itu tidak dapat mendekripsi IE kata sandi disimpan di bawah kata sandi akun Windows sebelumnya. Ini pasti hal yang bagus.
Kesimpulan
Pada akhirnya, keamanan kata sandi yang disimpan IE Anda sepenuhnya bergantung pada pengguna:
- Gunakan kata sandi akun Windows yang sangat kuat. Ingatlah, ada utilitas yang dapat memecahkan sandi Windows . Jika seseorang mendapatkan kata sandi akun Windows Anda, maka mereka memiliki akses ke kata sandi IE Anda yang tersimpan.
- Lindungi diri Anda dari malware. Jika utilitas dapat dengan mudah mengakses sandi Anda yang disimpan, mengapa perangkat lunak perusak tidak bisa?
- Simpan kata sandi Anda di sistem manajemen kata sandi seperti KeePass. Tentu saja, Anda kehilangan kenyamanan karena browser mengisi otomatis kata sandi Anda.
- Gunakan utilitas pihak ke-3 yang terintegrasi dengan IE dan menggunakan kata sandi utama untuk mengelola kata sandi Anda.
- Enkripsi seluruh hard drive Anda menggunakan TrueCrypt. Ini sepenuhnya opsional dan untuk perlindungan ultra, tetapi jika seseorang tidak dapat mendekripsi drive Anda, mereka pasti bisa mendapatkan apa pun darinya.
Tentu saja keduanya tidak perlu dikatakan lagi, tetapi ini hanya memperkuat pentingnya mengambil langkah-langkah untuk menjaga keamanan sistem Anda.
