Jak bezpečná jsou vaše uložená hesla aplikace Internet Explorer?

Obsah:

Video: Jak bezpečná jsou vaše uložená hesla aplikace Internet Explorer?

Video: Jak bezpečná jsou vaše uložená hesla aplikace Internet Explorer?
Video: Zabezpečení Wi Fi sítí, hackujeme WEP 2024, Březen
Jak bezpečná jsou vaše uložená hesla aplikace Internet Explorer?
Jak bezpečná jsou vaše uložená hesla aplikace Internet Explorer?
Anonim
Jedním z nejvhodnějších nástrojů, které nabízí prohlížeč, je schopnost ukládat a automaticky předběžně vyplnit hesla na přihlašovacích formulářích. Protože tolik webů vyžaduje účty a je dobře známo (nebo by mělo být přinejmenším), že pomocí sdíleného hesla je velký no-no, správce hesel je téměř zásadní.
Jedním z nejvhodnějších nástrojů, které nabízí prohlížeč, je schopnost ukládat a automaticky předběžně vyplnit hesla na přihlašovacích formulářích. Protože tolik webů vyžaduje účty a je dobře známo (nebo by mělo být přinejmenším), že pomocí sdíleného hesla je velký no-no, správce hesel je téměř zásadní.

Takže pokud jste uživatel IE a odpovězte "ano", aby mohl prohlížeč zapamatovat vaše heslo, jak bezpečná je tato informace?

Kde jsou spaseni?

Počínaje aplikací Internet Explorer 7 je heslo uloženo v registru systému (KEY_CURRENT_USER Software Microsoft Internet Explorer IntelliForms Storage2) a zašifrováno proti přihlašovacímu heslu uživatele systému Windows pomocí API pro ochranu dat, které používá šifrování Triple DES.

Jak bezpečné jsou tyto údaje?

V době tohoto psaní je Triple DES prakticky nerozbitné metodami hrubou silou. Ovšem v případě, že jste přihlášeni do účtu systému Windows, kde jsou uložena hesla, není skutečně potřeba šikovnou sílu, protože systém Windows předpokládá, že po přihlášení je pro aplikace bezpečné pro přístup k těmto datům. V důsledku toho, že IE nepoužívá hlavní heslo (například to, co nabízí Firefox) pro ochranu uložených hesel, je příslušným heslem účtu Windows kód Triple DES dešifrování.

Jednoduše řečeno, pokud se můžete přihlásit do systému Windows pomocí účtu a hesla, můžete vidět uložená hesla prohlížeče. Pomocí volně dostupného nástroje, jako je IE PassView aplikace NirSoft, můžete prohlížet a exportovat všechna uložená IE heslo.

Image
Image

Může to být také malware?

Poté, co jsme viděli, jak snadné je dostat se k těmto datům, je další logickou otázkou, zda se k těmto datům snadno dostane malware. Nejsem vývojář škodlivého softwaru, ale nevidím žádný důvod, proč by to nemohl. Pokud skenuji nástroj IE PassView pomocí programu Virus Total, můžete vidět, že 55% skenerů, které používají, zjistí, že je to malware (jedním z nich je Security Essentials).

Zatímco v našem případě je výsledek falešně pozitivní, ukazuje se, že je možné, aby malware k přístupu k těmto datům nebyl detekován, i když systém běží anti-virus. Navíc, protože šifrované údaje jsou specifické pro uživatele, žádná výzva UAC nebude spuštěna aplikací, která se pokusí o přístup k těmto datům. Předtím, než se domnívám, že se jedná o chybu v operačním systému, je to opravdu tak, jak to musí být jinak. IE a řada dalších aplikací systému Windows, které využívají chráněné úložiště, by spustily výzvu UAC pokaždé, když se otevřely.
Zatímco v našem případě je výsledek falešně pozitivní, ukazuje se, že je možné, aby malware k přístupu k těmto datům nebyl detekován, i když systém běží anti-virus. Navíc, protože šifrované údaje jsou specifické pro uživatele, žádná výzva UAC nebude spuštěna aplikací, která se pokusí o přístup k těmto datům. Předtím, než se domnívám, že se jedná o chybu v operačním systému, je to opravdu tak, jak to musí být jinak. IE a řada dalších aplikací systému Windows, které využívají chráněné úložiště, by spustily výzvu UAC pokaždé, když se otevřely.

Co když je počítač ukraden?

Jednoduchá odpověď je, že tato data jsou stejně bezpečná jako vaše heslo účtu Windows. Jak jsme uvedli výše, při přihlašování k účtu pomocí příslušného hesla jsou tato data snadno dostupná. Pokud nepoužijete žádné heslo, nemáte žádnou ochranu.

Abych udělal další krok, provedl jsem reset hesla účtu, abych zjistil, co se stane, když bylo heslo změněno mimo systém Windows. Po resetování jsem uloľil nové heslo adresy Gmail (blah @) a spustil IE PassView. Byl jsem schopen vidět předchozí uživatelské jméno (myemail @), které bylo uloženo před resetováním hesla, ale proto, že hesla účtu (tj. "Hlavní heslo") použitá pro ukládání dat se liší, nebylo možné dešifrovat IE heslo uložené pod předchozím heslem účtu Windows. To je určitě dobrá věc.

Image
Image

Závěr

Na konci dne je bezpečnost vašich uložených hesel IE zcela závislá na uživateli:

  • Použijte velmi silné heslo účtu Windows. Mějte na paměti, že existují nástroje, které mohou dešifrovat hesla systému Windows. Pokud někdo dostane heslo k účtu Windows, pak má přístup k uloženým IE heslům.
  • Chraňte se před malwarem. Jsou-li nástroje schopny snadno přistupovat k uloženým heslům, proč nemůže být malware?

  • Uložte hesla do systému pro správu hesel, jako je KeePass. Samozřejmě, ztrácíte pohodlí tím, že prohlížeč automaticky zaplní vaše hesla.
  • Použijte nástroj třetí strany, který se integruje s programem IE a pro správu hesel používá hlavní heslo.

  • Šifrování celého pevného disku pomocí programu TrueCrypt. To je zcela volitelné a pro ultra ochranný, ale pokud někdo nemůže dešifrovat váš disk, určitě to může dostat z toho.

Samozřejmě, že oba jsou samozřejmé, ale to jen posiluje důležitost kroků k udržení vašeho systému bezpečného.

Stáhněte si IE PassView od společnosti NirSoft

Doporučuje: