Ett av de mest praktiska verktygen som webbläsare erbjuder är möjligheten att spara och automatiskt fylla i dina lösenord på inloggningsformulär. Eftersom så många webbplatser kräver konton och det är välkänt (eller borde vara åtminstone) att använda ett delat lösenord är ett stort nej-nej, är en lösenordshanterare nästan nödvändig.
Så om du är en IE-användare och svarar ”ja” för att låta webbläsaren komma ihåg ditt lösenord, hur säker är denna information?
Var sparas de?
Från och med Internet Explorer 7 lagras lösenord i systemregistret (KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) och krypteras mot Windows-användarens inloggningslösenord med hjälp av Data Protection API som använder Triple DES-kryptering.
Hur säker är denna information?
När detta skrivs är Triple DES praktiskt taget obrytbart genom brute force-metoder. Det finns dock verkligen inget behov av att tvinga krypteringen när du är inloggad på Windows-kontot där dina lösenordsdata lagras eftersom Windows antar att när det är inloggat är det säkert för applikationer att få tillgång till dessa data. Som ett resultat av att IE inte använder ett huvudlösenord (till exempel vad Firefox erbjuder) för att skydda sina sparade lösenord är respektive Windows-kontolösenord Triple DES-dekrypteringsnyckeln.
Enkelt uttryckt, om du kan logga in på Windows med kontot och lösenordet kan du se de sparade webbläsarlösenorden. Med hjälp av ett fritt tillgängligt verktyg som NirSofts IE PassView kan du visa och exportera alla sparade IE-lösenord.
Så kan skadlig kod komma åt detta?
Efter att ha sett hur lätt det är att komma till dessa data är nästa logiska fråga om skadlig kod lätt kan komma till dessa data. Jag är inte utvecklare av skadlig programvara, men jag ser ingen anledning att det inte kunde göra det. Om jag skannar IE PassView-verktyget med Virus Total kan du se 55% av de skannrar de använder upptäcker att det är skadlig kod (en av dem är Security Essentials).
Även om resultatet i vårt fall är falskt positivt, visar det att det är möjligt för en bit av skadlig kod att få tillgång till dessa data oupptäckt även när systemet kör antivirus. Eftersom de krypterade uppgifterna är användarspecifika kommer dessutom ingen UAC-prompt att utlösas av ett program som försöker komma åt dessa data. Innan du tänker att detta är en brist i operativsystemet, så är det verkligen så det måste vara annars skulle IE och en mängd andra Windows-applikationer som använder skyddad lagring utlösa en UAC-prompten varje gång de öppnas.
Vad händer om min dator blir stulen?
Det enkla svaret är att dessa uppgifter är lika säkra som ditt Windows-lösenord. Som vi har visat ovan är all denna information lätt tillgänglig när du loggar in på kontot med lämpligt lösenord. Om du inte använder något lösenord har du inget skydd.
För att ta detta ett steg längre gjorde jag ett återställning av kontolösenordet för att se vad som skulle hända när lösenordet ändrades kraftigt utanför Windows. Efter återställningen sparade jag ett nytt lösenord för Gmail-adress (blah @) och körde IE PassView. Jag kunde se det tidigare användarnamnet (myemail @) som sparades innan lösenordet återställdes, men eftersom kontolösenorden (dvs. "huvudlösenord") som användes för att spara data är annorlunda kunde jag inte dekryptera IE lösenord som sparats under det tidigare Windows-lösenordet. Det här är definitivt en bra sak.
Slutsats
I slutet av dagen beror säkerheten för dina IE-sparade lösenord helt på användaren:
- Använd ett mycket starkt Windows-lösenord. Tänk på att det finns verktyg som kan dechiffrera Windows-lösenord . Om någon får ditt Windows-lösenord har de tillgång till dina sparade IE-lösenord.
- Skydda dig mot skadlig kod. Om verktyg enkelt kan komma åt dina sparade lösenord, varför kan inte skadlig kod?
- Spara dina lösenord i ett lösenordshanteringssystem som KeePass. Naturligtvis tappar du bekvämligheten med att webbläsaren automatiskt fyller i dina lösenord.
- Använd ett verktyg från tredje part som integreras med IE och använder ett huvudlösenord för att hantera dina lösenord.
- Kryptera hela hårddisken med TrueCrypt. Detta är helt frivilligt och för den extremt skyddande, men om någon inte kan dekryptera din enhet kan de säkert få bort något från det.
Naturligtvis båda dessa går självklart, men detta förstärker bara vikten av att vidta åtgärder för att hålla ditt system säkert.
