Một trong những công cụ tiện lợi nhất mà trình duyệt cung cấp là khả năng lưu và tự động điền trước mật khẩu của bạn trên các biểu mẫu đăng nhập. Bởi vì rất nhiều trang web yêu cầu tài khoản và ai cũng biết (hoặc ít nhất là phải) rằng việc sử dụng mật khẩu dùng chung là điều tối kỵ, nên một trình quản lý mật khẩu gần như là điều cần thiết.
Vì vậy, nếu bạn là người dùng IE và trả lời “có” để cho phép trình duyệt ghi nhớ mật khẩu của bạn, thì thông tin này an toàn đến mức nào?
Chúng được lưu ở đâu?
Bắt đầu từ Internet Explorer 7, mật khẩu được lưu trữ trong sổ đăng ký hệ thống (KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) và được mã hóa dựa trên mật khẩu đăng nhập của người dùng Windows bằng API bảo vệ dữ liệu sử dụng mã hóa Triple DES.
Dữ liệu này an toàn đến mức nào?
Tại thời điểm viết bài này, Triple DES thực tế không thể bị phá vỡ thông qua các phương pháp bạo lực. Tuy nhiên, thực sự không cần thiết phải thực hiện mã hóa khi bạn đã đăng nhập vào tài khoản Windows, nơi dữ liệu mật khẩu của bạn được lưu trữ vì Windows đưa ra giả định rằng khi đã đăng nhập, các ứng dụng sẽ an toàn để truy cập vào dữ liệu này. Do IE không sử dụng mật khẩu chính (chẳng hạn như những gì Firefox cung cấp) để bảo vệ các mật khẩu đã lưu của nó, mật khẩu tài khoản Windows tương ứng là khóa giải mã Triple DES.
Nói một cách đơn giản, nếu bạn có thể đăng nhập vào Windows bằng tài khoản và mật khẩu, bạn có thể xem các mật khẩu trình duyệt đã lưu. Sử dụng một tiện ích miễn phí có sẵn chẳng hạn như NirSoft’s IE PassView, bạn có thể xem và xuất mọi mật khẩu IE đã lưu.
Vậy phần mềm độc hại có thể truy cập vào cái này không?
Sau khi thấy dữ liệu này dễ dàng như thế nào, câu hỏi hợp lý tiếp theo là phần mềm độc hại có dễ dàng lấy được dữ liệu này không. Tôi không phải là nhà phát triển phần mềm độc hại, nhưng tôi không thấy lý do gì mà nó không làm được. Nếu tôi quét tiện ích IE PassView bằng Virus Total, bạn có thể thấy 55% máy quét mà họ sử dụng phát hiện đó là phần mềm độc hại (một trong số đó là Security Essentials).
Trong trường hợp của chúng tôi, kết quả là dương tính giả, điều này cho thấy có thể một phần mềm độc hại truy cập vào dữ liệu này mà không bị phát hiện ngay cả khi hệ thống chạy chương trình chống vi-rút. Ngoài ra, vì dữ liệu được mã hóa dành riêng cho người dùng, không có lời nhắc UAC nào sẽ được kích hoạt bởi một ứng dụng đang cố gắng truy cập vào dữ liệu này. Trước khi nghĩ rằng đây là một lỗ hổng trong hệ điều hành, đây thực sự là cách mà nó phải có, nếu không IE và một loạt các ứng dụng Windows khác sử dụng bộ nhớ được bảo vệ sẽ kích hoạt lời nhắc UAC mỗi khi chúng mở.
Điều gì sẽ xảy ra nếu máy tính của tôi bị đánh cắp?
Câu trả lời đơn giản là dữ liệu này an toàn như mật khẩu tài khoản Windows của bạn. Như chúng tôi đã trình bày ở trên, khi bạn đăng nhập vào tài khoản bằng mật khẩu thích hợp, tất cả dữ liệu này có thể dễ dàng truy cập. Nếu bạn không sử dụng mật khẩu, bạn không có biện pháp bảo vệ.
Để tiến thêm một bước nữa, tôi đã đặt lại mật khẩu tài khoản để xem điều gì sẽ xảy ra khi mật khẩu bị thay đổi mạnh mẽ bên ngoài Windows. Sau khi đặt lại, tôi đã lưu mật khẩu địa chỉ Gmail mới (blah @) và chạy IE PassView. Tôi có thể thấy tên người dùng trước đó (myemail @) đã được lưu trước khi đặt lại mật khẩu, nhưng vì mật khẩu tài khoản (tức là “mật khẩu chính”) được sử dụng để lưu dữ liệu khác nhau, nên không thể giải mã IE mật khẩu được lưu dưới mật khẩu tài khoản Windows trước đó. Đây chắc chắn là một điều tốt.
Phần kết luận
Vào cuối ngày, tính bảo mật của mật khẩu đã lưu trên IE của bạn hoàn toàn phụ thuộc vào người dùng:
- Sử dụng mật khẩu tài khoản Windows rất mạnh. Hãy ghi nhớ, có tiện ích có thể giải mã mật khẩu Windows . Nếu ai đó lấy được mật khẩu tài khoản Windows của bạn thì họ có quyền truy cập vào mật khẩu IE đã lưu của bạn.
- Bảo vệ bạn khỏi phần mềm độc hại. Nếu các tiện ích có thể dễ dàng truy cập mật khẩu đã lưu của bạn thì tại sao phần mềm độc hại lại không thể?
- Lưu mật khẩu của bạn trong hệ thống quản lý mật khẩu như KeePass. Tất nhiên, bạn mất đi sự tiện lợi khi trình duyệt tự động điền mật khẩu của bạn.
- Sử dụng tiện ích của bên thứ 3 tích hợp với IE và sử dụng mật khẩu chính để quản lý mật khẩu của bạn.
- Mã hóa toàn bộ ổ cứng của bạn bằng TrueCrypt. Điều này là hoàn toàn tùy chọn và để bảo vệ cực kỳ tốt, nhưng nếu ai đó không thể giải mã ổ đĩa của bạn, họ chắc chắn có thể lấy được bất cứ thứ gì từ nó.
Tất nhiên cả hai điều này không cần phải nói, nhưng điều này chỉ củng cố tầm quan trọng của việc thực hiện các bước để giữ an toàn cho hệ thống của bạn.
