Jednym z najwygodniejszych narzędzi oferowanych przez przeglądarki jest możliwość zapisywania i automatycznego uzupełniania haseł w formularzach logowania. Ponieważ tak wiele witryn wymaga kont i dobrze wiadomo (a przynajmniej powinno być), że używanie wspólnego hasła to wielkie nie-nie, menedżer haseł jest prawie niezbędny.
Jeśli więc jesteś użytkownikiem IE i odpowiesz „tak”, aby przeglądarka zapamiętała Twoje hasło, jak bezpieczne są te informacje?
Gdzie oni są zbawieni?
Począwszy od przeglądarki Internet Explorer 7, hasła są przechowywane w rejestrze systemowym (KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) i szyfrowane względem hasła logowania użytkownika systemu Windows przy użyciu interfejsu API ochrony danych, który wykorzystuje szyfrowanie Triple DES.
Jak bezpieczne są te dane?
W chwili pisania tego tekstu Triple DES jest praktycznie nie do złamania metodami brutalnej siły. Jednak naprawdę nie ma potrzeby brutalnego wymuszania szyfrowania po zalogowaniu się na konto systemu Windows, na którym przechowywane są dane hasła, ponieważ system Windows przyjmuje założenie, że po zalogowaniu aplikacje mogą uzyskać dostęp do tych danych. W wyniku tego, że IE nie używa hasła głównego (takiego jak to, które oferuje Firefox) do ochrony zapisanych haseł, odpowiednie hasło konta Windows jest kluczem deszyfrującym Triple DES.
Mówiąc najprościej, jeśli możesz zalogować się do systemu Windows za pomocą konta i hasła, możesz zobaczyć zapisane hasła przeglądarki. Korzystając z ogólnie dostępnego narzędzia, takiego jak IE PassView firmy NirSoft, możesz przeglądać i eksportować każde zapisane hasło IE.
Czy zatem złośliwe oprogramowanie może uzyskać do tego dostęp?
Po sprawdzeniu, jak łatwo jest dostać się do tych danych, następnym logicznym pytaniem jest, czy złośliwe oprogramowanie może łatwo dostać się do tych danych. Nie jestem twórcą złośliwego oprogramowania, ale nie widzę żadnego powodu, dla którego by to nie było. Jeśli przeskanuję narzędzie IE PassView za pomocą Virus Total, zobaczysz 55% skanerów, których używają, wykrywa, że to złośliwe oprogramowanie (jednym z nich jest Security Essentials).
Chociaż w naszym przypadku wynik jest fałszywie dodatni, oznacza to, że złośliwe oprogramowanie może uzyskać dostęp do tych danych w sposób niezauważony, nawet jeśli system działa antywirusowo. Ponadto, ponieważ zaszyfrowane dane są specyficzne dla użytkownika, żaden monit UAC nie zostanie wyzwolony przez aplikację próbującą uzyskać dostęp do tych danych. Zanim pomyślisz, że to wada w systemie operacyjnym, tak naprawdę musi być, w przeciwnym razie IE i wiele innych aplikacji Windows, które wykorzystują chronioną pamięć masową, wyzwoli monit UAC za każdym razem, gdy zostaną otwarte.
Co się stanie, jeśli mój komputer zostanie skradziony?
Prosta odpowiedź brzmi: te dane są tak samo bezpieczne, jak hasło do konta Windows. Jak wykazaliśmy powyżej, po zalogowaniu się na konto przy użyciu odpowiedniego hasła wszystkie te dane są łatwo dostępne. Jeśli nie używasz hasła, nie masz ochrony.
Aby pójść o krok dalej, zrobiłem resetowanie hasła do konta aby zobaczyć, co się stanie, gdy hasło zostanie wymuszone poza systemem Windows. Po zresetowaniu zapisałem nowe hasło do adresu Gmail (blah @) i uruchomiłem IE PassView. Mogłem zobaczyć poprzednią nazwę użytkownika (myemail @), która została zapisana przed zresetowaniem hasła, ale ponieważ hasła do kont (tj. „Hasło główne”) użyte do zapisania danych są inne, nie był w stanie odszyfrować IE hasło zapisane pod poprzednim hasłem do konta Windows. To zdecydowanie dobra rzecz.
Wniosek
Ostatecznie bezpieczeństwo zapisanych haseł w IE zależy całkowicie od użytkownika:
- Użyj bardzo silnego hasła do konta Windows. Pamiętaj, że są narzędzia, które potrafią rozszyfrować hasła systemu Windows . Jeśli ktoś otrzyma hasło do Twojego konta Windows, będzie miał dostęp do zapisanych haseł IE.
- Chroń się przed złośliwym oprogramowaniem. Jeśli narzędzia mogą łatwo uzyskać dostęp do zapisanych haseł, dlaczego nie ma złośliwego oprogramowania?
- Zapisz swoje hasła w systemie zarządzania hasłami, takim jak KeePass. Oczywiście tracisz wygodę automatycznego uzupełniania haseł przez przeglądarkę.
- Użyj narzędzia innej firmy, które integruje się z IE i używa hasła głównego do zarządzania hasłami.
- Zaszyfruj cały dysk twardy za pomocą TrueCrypt. Jest to całkowicie opcjonalne i zapewniające ultra ochronę, ale jeśli ktoś nie może odszyfrować dysku, z pewnością może coś z niego wyciągnąć.
Oczywiście obie te rzeczy są oczywiste, ale to tylko wzmacnia znaczenie podejmowania kroków w celu zapewnienia bezpieczeństwa systemu.
