Jak bezpečná jsou vaše uložená hesla aplikace Internet Explorer?
Jedním z nejvhodnějších nabídek prohlížečů nástrojů je možnost ukládat a automaticky předběžně vyplnit hesla na přihlašovacích formulářích. Protože tolik stránek vyžaduje účty a je dobře známo (nebo by mělo být přinejmenším), že pomocí sdíleného hesla je velký ne-ne, správce hesel je téměř nezbytný.
Takže pokud jste uživatel IE a odpovězte "ano", aby mohl prohlížeč zapamatovat vaše heslo, jak bezpečná je tato informace?
Kde jsou zachráněni?
Počínaje aplikací Internet Explorer 7 je heslo uloženo v registru systému (KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) a zašifrováno proti přihlašovacímu heslu uživatele Windows pomocí rozhraní API pro ochranu dat, které používá šifrování Triple DES.
Jak jsou tato data bezpečná?
V době tohoto psaní je Triple DES prakticky nerozbitný metodami hrubou silou. Ovšem v případě, že jste přihlášeni do účtu systému Windows, ve kterém jsou uložena hesla, není skutečně nutné šifrovat sílu, protože systém Windows předpokládá, že po přihlášení je aplikace bezpečné pro přístup k těmto datům. V důsledku toho, že IE nepoužívá hlavní heslo (například to, co Firefox nabízí), aby ochránilo uložená hesla, je příslušným heslem účtu Windows klíč Triple DES dešifrování.
Jednoduše řečeno, pokud se můžete přihlásit do systému Windows pomocí účtu a hesla, můžete vidět uložená hesla prohlížeče. Pomocí volně dostupného nástroje, jako je IE PassView aplikace NirSoft, můžete prohlížet a exportovat všechna uložená IE heslo.
K tomuto může přistupovat také malware?
Poté, co jsme viděli, jak snadné je dostat se k těmto datům, je další logickou otázkou, zda se na tyto údaje snadno dostanou malware. Nejsem vývojář malwaru, ale nevidím žádný důvod, proč by to nemohl. Pokud skenuji nástroj IE PassView pomocí programu Virus Total, můžete vidět, že 55% skenerů, které používají, zjistí, že je to malware (jedním z nich je Security Essentials).
Zatímco v našem případě je výsledek falešně pozitivní, ukazuje se, že je možné, aby malware přístup k těmto údajům nebyl zjištěn, i když systém běží anti-virus. Navíc, protože šifrované údaje jsou specifické pro uživatele, žádná výzva UAC nebude spuštěna aplikací, která se pokusí získat přístup k těmto datům. Předtím, než se domnívám, že se jedná o chybu v operačním systému, je to opravdu způsob, jak to musí být jinak. IE a řada dalších aplikací systému Windows, které využívají chráněné úložiště, by spustily výzvu UAC při každém otevření.
Co když je počítač ukraden??
Jednoduchá odpověď je, že tato data jsou stejně bezpečná jako vaše heslo účtu Windows. Jak jsme uvedli výše, při přihlašování k účtu pomocí příslušného hesla jsou tato data snadno dostupná. Pokud nepoužíváte žádné heslo, nemáte žádnou ochranu.
Abych to udělal ještě o krok dále, provedl jsem reset hesla účtu, abych zjistil, co se stane, když bylo heslo silně změněno mimo Windows. Po resetování jsem uloľil nové heslo adresy Gmail (blah @) a spustil IE PassView. Byl jsem schopen vidět předchozí uživatelské jméno (myemail @), které bylo uloženo předtím, než bylo heslo resetováno, ale proto, že hesla účtu (tj. "Hlavní heslo") použitá pro ukládání dat se liší, nebylo možné dešifrovat IE heslo uložené pod předchozím heslem účtu Windows. To je určitě dobrá věc.
Závěr
Na konci dne zabezpečení hesel uložených v IE závisí zcela na uživateli:
- Použijte velmi silné heslo účtu Windows. Mějte na paměti, že existují nástroje, které mohou rozluštit hesla systému Windows. Pokud někdo dostane heslo k účtu Windows, pak má přístup k uloženým IE heslům.
- Chraňte se před malwarem. Pokud nástroje mohou snadno přistupovat k vašim uloženým heslům, proč nemůžu mít škodlivý software?
- Hesla uložte do systému správy hesel, jako je KeePass. Samozřejmě, že ztrácíte pohodlí tím, že prohlížeč automaticky zaplní vaše hesla.
- Použijte nástroj třetí strany, který se integruje s programem IE a pro správu hesel používá hlavní heslo.
- Šifrování celého pevného disku pomocí programu TrueCrypt. To je zcela volitelné a pro ultra ochranný, ale pokud někdo nemůže dešifrovat váš disk, určitě může dostat něco z toho.
Samozřejmě, že oba jsou samozřejmé, ale to jen posiluje důležitost kroků k udržení bezpečnosti vašeho systému.
Stáhněte si IE PassView od společnosti NirSoft