Kako varni so shranjena gesla za Internet Explorer?
Ena izmed najprimernejših orodij, ki jih ponuja brskalnik, je možnost shranjevanja in samodejnega vnašanja vaših gesel v prijavne obrazce. Ker toliko mest potrebuje račune in je dobro znano (ali bi moralo biti vsaj), da je uporaba gesla za skupno rabo velik ne-ne, je upravitelj gesel skoraj bistven.
Torej, če ste uporabnik IE in odgovorite »da«, da dovolite brskalniku, da si zapomni vaše geslo, kako varne so te informacije?
Kje so shranjene?
Z zagonom v Internet Explorerju 7 se geslo shrani v sistemski register (KEY_CURRENT_USER Software Microsoft Internet Explorer IntelliForms Storage2) in se šifrira z geslom za prijavo uporabnika Windows z API-jem za varstvo podatkov, ki uporablja šifriranje Triple DES..
Kako varni so ti podatki?
V času tega pisanja je Triple DES praktično nezlomljiv z metodami surove sile. Vendar pa res ni potrebe, da bi šifriranje z brutalnostjo začeli veljati, ko ste prijavljeni v račun Windows, kjer so shranjeni podatki o geslu, saj Windows predpostavlja, da je, ko je prijavljen, varno, da aplikacije dostopajo do teh podatkov. Zaradi tega, ker IE ne uporablja glavnega gesla (kot je tisto, kar ponuja Firefox) za zaščito shranjenih gesel, je ustrezno geslo računa Windows trikotni DES ključ za dešifriranje.
Preprosto povedano, če se lahko v računalnik prijavite z računom in geslom, si lahko ogledate shranjena gesla brskalnika. Z uporabo prosto dostopnega pripomočka, kot je npr. IE PassView NirSoft, si lahko ogledate in izvozite vsa shranjena gesla IE.
Tako lahko malware dostopa do tega?
Ko vidim, kako enostavno je priti do teh podatkov, je naslednje logično vprašanje, ali lahko zlonamerna programska oprema z lahkoto pride do teh podatkov. Nisem razvijalec zlonamerne programske opreme, vendar ne vidim razloga, zakaj ne. Če s pomočjo programa Virus Total pregledam pripomoček IE PassView, lahko vidite, da je 55% optičnih bralnikov, ki jih uporabljajo, odkrilo, da je to zlonamerna programska oprema (od katerih je ena varnostna zaščita).
Čeprav je v našem primeru rezultat napačen, to kaže, da je mogoče, da kos malware-a dostopa do teh podatkov, ne da bi bil zaznan, tudi če sistem deluje protivirusno. Poleg tega, ker so šifrirani podatki uporabniško določeni, ne bo sprožen UAC poziv, s katerim bo program poskušal dostopati do teh podatkov. Pred razmišljanjem, da je to napaka v OS, je to res tako, da mora biti drugače IE in množica drugih aplikacij Windows, ki uporabljajo zaščiteno shrambo, bi sprožila UAC poziv vsakič, ko bi se odprla..
Kaj pa, če je moj računalnik ukraden?
Preprost odgovor je, da so ti podatki varni kot geslo računa Windows. Kot smo prikazali zgoraj, ko se prijavite v račun z ustreznim geslom, so vsi ti podatki lahko dostopni. Če ne uporabljate gesla, nimate zaščite.
Da bi to naredili še korak dlje, sem ponastavil geslo računa, da bi videl, kaj bi se zgodilo, ko je geslo prisilno spremenjeno izven sistema Windows. Po ponastavitvi sem shranil novo Gmailovo geslo (blah @) in zagnal IE PassView. Videl sem prejšnje uporabniško ime (myemail @), ki je bilo shranjeno, preden je bilo geslo ponastavljeno, ampak ker so gesla računa (tj. »Glavno geslo«), uporabljena za shranjevanje podatkov, različna, ni bilo mogoče dešifrirati. geslo, shranjeno pod prejšnjim geslom računa Windows. To je vsekakor dobra stvar.
Zaključek
Na koncu dneva je varnost shranjenih gesel IE popolnoma odvisna od uporabnika:
- Uporabite zelo močno geslo za račun Windows. Ne pozabite, obstajajo pripomočki, ki lahko dešifrirajo gesla za Windows. Če nekdo dobi vaše geslo za račun Windows, ima dostop do shranjenih gesel IE.
- Zaščitite se pred zlonamerno programsko opremo. Če lahko pripomočki preprosto dostopajo do shranjenih gesel, zakaj ne morejo zlonamerno programsko opremo?
- Shranite gesla v sistem za upravljanje gesel, kot je KeePass. Seveda izgubite priročnost, da brskalnik samodejno izpolni gesla.
- Uporabite pripomoček tretje osebe, ki se integrira z IE in uporablja glavno geslo za upravljanje gesel.
- Šifrirajte celoten trdi disk z uporabo TrueCrypt. To je popolnoma neobvezno in za ultra zaščito, če pa nekdo ne more dešifrirati vašega pogona, lahko zagotovo kaj odnese.
Seveda sta oba brez pojma, vendar to samo krepi pomembnost ukrepanja, da bo vaš sistem varen.
Prenesite IE PassView od podjetja NirSoft