Et av de mest praktiske verktøyene nettlesere tilbyr er muligheten til å lagre og automatisk fylle ut passordene dine på påloggingsskjemaer. Fordi så mange nettsteder krever kontoer, og det er velkjent (eller burde være i det minste) at bruk av et delt passord er et stort nei-nei, er en passordbehandling nesten viktig.
Så hvis du er IE-bruker og svarer “ja” for å la nettleseren huske passordet ditt, hvor sikker er denne informasjonen?
Hvor blir de frelst?
Fra og med Internet Explorer 7 lagres passordet i systemregistret (KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) og krypteres mot Windows-brukerens påloggingspassord ved hjelp av Data Protection API som bruker Triple DES-kryptering.
Hvor sikre er disse dataene?
I skrivende stund er Triple DES praktisk talt ubrytelig gjennom brute force-metoder. Imidlertid er det virkelig ikke behov for å tvinge krypteringen når du er logget inn på Windows-kontoen der passorddataene dine er lagret, ettersom Windows antar at når du er logget inn, er det trygt for applikasjoner å få tilgang til disse dataene. Som et resultat av at IE ikke bruker et hovedpassord (for eksempel hva Firefox tilbyr) for å beskytte de lagrede passordene, er det respektive Windows-kontopassordet Triple DES-dekrypteringsnøkkelen.
Enkelt sagt, hvis du kan logge på Windows med konto og passord, kan du se de lagrede nettleserpassordene. Ved å bruke et fritt tilgjengelig verktøy som NirSofts IE PassView, kan du se og eksportere alle lagrede IE-passord.
Så kan skadelig programvare få tilgang til dette?
Etter å ha sett hvor enkelt det er å komme til disse dataene, er det neste logiske spørsmålet om malware lett kan komme til disse dataene. Jeg er ikke skadelig programvareutvikler, men jeg ser ingen grunn til at den ikke kunne gjøre det. Hvis jeg skanner IE PassView-verktøyet ved hjelp av Virus Total, kan du se 55% av skannerne de bruker, oppdager at det er skadelig programvare (den ene er Security Essentials).
Selv om resultatet i vårt tilfelle er falskt positivt, viser dette at det er mulig for et stykke malware å få tilgang til disse dataene uoppdaget, selv når systemet kjører antivirus. I tillegg, fordi de krypterte dataene er brukerspesifikke, vil ingen UAC-spørsmål bli utløst av et program som prøver å få tilgang til disse dataene. Før du tenker at dette er en feil i operativsystemet, er dette virkelig slik det må være, ellers vil IE og en rekke andre Windows-applikasjoner som bruker beskyttet lagring utløse en UAC-melding hver gang de åpnes.
Hva om datamaskinen min blir stjålet?
Det enkle svaret er at disse dataene er like sikre som passordet til Windows-kontoen. Som du har vist ovenfor, er alle disse dataene lett tilgjengelige når du logger inn på kontoen med riktig passord. Hvis du ikke bruker noe passord, har du ingen beskyttelse.
For å ta dette et skritt videre, gjorde jeg en tilbakestilling av kontopassordet for å se hva som ville skje når passordet ble endret kraftig utenfor Windows. Etter tilbakestillingen lagret jeg et nytt passord for Gmail (blah @) og kjørte IE PassView. Jeg var i stand til å se det forrige brukernavnet (myemail @) som ble lagret før passordet ble tilbakestilt, men fordi kontopassordene (dvs. "hovedpassordet") som ble brukt til å lagre dataene er forskjellige, klarte jeg ikke å dekryptere IE passord lagret under det forrige passordet til Windows-kontoen. Dette er definitivt en god ting.
Konklusjon
På slutten av dagen avhenger sikkerheten til dine IE-lagrede passord helt av brukeren:
- Bruk et veldig sterkt Windows-kontopassord. Husk at det er det verktøy som kan tyde Windows-passord . Hvis noen får Windows-passordet ditt, har de tilgang til de lagrede IE-passordene dine.
- Beskytt deg mot skadelig programvare. Hvis verktøy enkelt har tilgang til de lagrede passordene dine, hvorfor kan ikke skadelig programvare?
- Lagre passordene dine i et passordadministrasjonssystem som KeePass. Selvfølgelig mister du bekvemmeligheten ved at nettleseren automatisk fyller passordene dine.
- Bruk et tredjepartsverktøy som integreres med IE og bruker et hovedpassord for å administrere passordene dine.
- Krypter hele harddisken din ved hjelp av TrueCrypt. Dette er helt valgfritt og for den ultrabeskyttende, men hvis noen ikke kan dekryptere stasjonen din, kan de sikkert få noe ut av det.
Selvfølgelig begge disse sier seg selv, men dette forsterker bare viktigheten av å ta skritt for å holde systemet ditt sikkert.
