ブラウザが提供する最も便利なツールの1つは、ログインフォームにパスワードを保存して自動的に事前入力する機能です。非常に多くのサイトがアカウントを必要とし、共有パスワードを使用することは大したことではないことはよく知られている(または少なくともそうあるべきです)ので、パスワードマネージャーはほとんど不可欠です。
それで、あなたがIEユーザーであり、ブラウザがパスワードを記憶できるように「はい」と答えた場合、この情報はどの程度安全ですか?
彼らはどこに救われますか?
Internet Explorer 7以降、パスワードはシステムレジストリ(KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2)に保存され、トリプルDES暗号化を利用するData ProtectionAPIを使用してWindowsユーザーのログインパスワードに対して暗号化されます。
このデータはどの程度安全ですか?
この記事の執筆時点では、TripleDESは力ずくの方法では事実上壊れません。ただし、パスワードデータが保存されているWindowsアカウントにログインすると、アプリケーションがこのデータにアクセスしても安全であるとWindowsが想定しているため、暗号化を強制的に行う必要はありません。 IEが保存されたパスワードを保護するためにマスターパスワード(Firefoxが提供するものなど)を利用しない結果として、それぞれのWindowsアカウントのパスワードはトリプルDES復号化キーになります。
簡単に言えば、アカウントとパスワードを使用してWindowsにログインできる場合は、保存されているブラウザーのパスワードを確認できます。 NirSoftのIEPassViewなどの無料で利用できるユーティリティを使用すると、保存されているすべてのIEパスワードを表示およびエクスポートできます。
では、マルウェアはこれにアクセスできますか?
このデータに簡単にアクセスできることを確認した後、次の論理的な質問は、マルウェアがこのデータに簡単にアクセスできるかどうかです。私はマルウェア開発者ではありませんが、それができなかった理由はわかりません。 VirusTotalを使用してIEPassViewユーティリティをスキャンすると、次のことがわかります。 使用しているスキャナーの55%がマルウェアであると検出しています (そのうちの1つはSecurity Essentialsです)。
私たちの場合、結果は誤検知ですが、これは、システムがアンチウイルスを実行している場合でも、マルウェアがこのデータに検出されずにアクセスする可能性があることを示しています。さらに、暗号化されたデータはユーザー固有であるため、このデータにアクセスしようとするアプリケーションによってUACプロンプトがトリガーされることはありません。これがOSの欠陥であると考える前に、これは実際にはそうでなければならない方法です。そうでなければ、IEおよび保護されたストレージを利用する他のWindowsアプリケーションのホストは、開くたびにUACプロンプトをトリガーします。
コンピューターが盗まれた場合はどうなりますか?
簡単な答えは、このデータはWindowsアカウントのパスワードと同じくらい安全であるということです。上に示したように、適切なパスワードを使用してアカウントにログインすると、このすべてのデータに簡単にアクセスできます。パスワードを使用しない場合、保護はありません。
これをさらに一歩進めるために、私は アカウントパスワードのリセット パスワードがWindowsの外部で強制的に変更された場合に何が起こるかを確認します。リセット後、新しいGmailアドレスパスワード(blah @)を保存し、IEPassViewを実行しました。パスワードがリセットされる前に保存されていた以前のユーザー名(myemail @)を確認できましたが、データの保存に使用されたアカウントパスワード(つまり「マスターパスワード」)が異なるため、IEを復号化できませんでした以前のWindowsアカウントのパスワードで保存されたパスワード。これは間違いなく良いことです。
結論
結局のところ、IEに保存されたパスワードのセキュリティは、完全にユーザーに依存します。
- 非常に強力なWindowsアカウントのパスワードを使用してください。覚えておいてください、 Windowsパスワードを解読できるユーティリティ 。誰かがあなたのWindowsアカウントのパスワードを取得した場合、その人はあなたの保存されたIEパスワードにアクセスできます。
- マルウェアから身を守りましょう。ユーティリティが保存されたパスワードに簡単にアクセスできるのなら、なぜマルウェアに感染できないのでしょうか。
- KeePassなどのパスワード管理システムにパスワードを保存します。もちろん、ブラウザにパスワードを自動入力させるという便利さは失われます。
- IEと統合し、マスターパスワードを使用してパスワードを管理するサードパーティのユーティリティを使用します。
- TrueCryptを使用してハードドライブ全体を暗号化します。これは完全にオプションであり、非常に保護的ですが、誰かがあなたのドライブを復号化できない場合、彼らは確かにそれから何かを得ることができます。
もちろん、どちらも言うまでもありませんが、これは、システムを安全に保つための措置を講じることの重要性を強調するだけです。
