/ / Hvor sikre er dine gemte Internet Explorer-adgangskoder?

Hvor sikre er dine gemte Internet Explorer-adgangskoder?

billede

Et af de mest praktiske værktøjer, som browsere tilbyderer muligheden for at gemme og automatisk udfylde dine adgangskoder på loginformularer. Da så mange websteder kræver konti, og det er velkendt (eller burde i det mindste være), at brug af en delt adgangskode er et stort no-no, er en password manager næsten vigtig.

Så hvis du er en IE-bruger og svarer "ja" for at tillade browseren at huske din adgangskode, hvor sikre er disse oplysninger?

Hvor gemmes de?

Fra Internet Explorer 7 er adgangskodengemt i systemregistret (KEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerIntelliFormsStorage2) og chifferet mod Windows-brugerens login-adgangskode ved hjælp af databeskyttelses-API'et, der bruger Triple DES-kryptering.

Hvor sikre er disse data?

På dette tidspunkt skrives Triple DESpraktisk talt uknuselig gennem brute force-metoder. Imidlertid er der virkelig ikke et behov for at brute tvinge krypteringen, når du er logget ind på Windows-kontoen, hvor dine adgangskodedata er gemt, da Windows antager, at når det først er logget ind, er det sikkert for applikationer at få adgang til disse data. Som et resultat af, at IE ikke bruger et hovedadgangskode (som f.eks. Hvad Firefox tilbyder) til at beskytte dets gemte adgangskoder, er den respektive Windows-kontoadgangskode Triple DES-dekrypteringsnøglen.

Kort sagt, hvis du kan logge på Windows medkonto og adgangskode, kan du se de gemte browseradgangskoder. Ved hjælp af et frit tilgængeligt værktøj, såsom NirSofts IE PassView, kan du se og eksportere alle gemte IE-adgangskoder.

billede

Så kan malware få adgang til dette?

Efter at have set, hvor let det er at komme til disse data,det næste logiske spørgsmål er, at malware let kan komme til disse data. Jeg er ikke malware-udvikler, men jeg kan ikke se nogen grund til, at det ikke kunne. Hvis jeg scanner værktøjet IE PassView ved hjælp af Virus Total, kan du se 55% af de scannere, de bruger, opdage, at det er malware (hvoraf den ene er Security Essentials).

billede

Selv om resultatet i vores tilfælde er en falsk positiv,dette viser, at det er muligt for et stykke malware at få adgang til disse data uopdaget, selv når systemet kører antivirus. Eftersom de krypterede data endvidere er brugerspecifik, udløses ingen UAC-prompt af et program, der prøver at få adgang til disse data. Før man tænker på, at dette er en fejl i OS, er det virkelig sådan, det skal være ellers IE, og en række andre Windows-applikationer, der bruger det beskyttede lager, ville udløse en UAC-prompt, hver gang de åbnes.

Hvad hvis min computer er stjålet?

Det enkle svar er, at disse data er lige så sikre somdin Windows-kontoadgangskode. Som vi har vist ovenfor, når du logger ind på kontoen ved hjælp af den passende adgangskode, er alle disse data let tilgængelige. Hvis du ikke bruger noget kodeord, har du ingen beskyttelse.

For at tage dette et skridt videre foretog jeg en nulstilling afkontoadgangskode for at se, hvad der ville ske, når adgangskoden med kraft blev ændret uden for Windows. Efter nulstillingen gemte jeg en ny adgangskode til Gmail-adresse (bla @) og kørte IE PassView. Jeg var i stand til at se det forrige brugernavn (myemail @), som blev gemt inden adgangskoden blev nulstillet, men fordi kontoadgangskoder (dvs. "master password"), der blev brugt til at gemme dataene, er forskellige, var det ikke i stand til at dekryptere IE adgangskode gemt under den forrige Windows-kontoadgangskode. Dette er bestemt en god ting.

billede

Konklusion

I slutningen af ​​dagen afhænger sikkerheden af ​​dine IE gemte adgangskoder helt af brugeren:

  • Brug en meget stærk Windows-adgangskode. Husk, der er hjælpeprogrammer, der kan dechifrere Windows-adgangskoder. Hvis nogen får din Windows-kontoadgangskode, har de adgang til dine gemte IE-adgangskoder.
  • Beskyt dig selv mod malware. Hvis værktøjer let kan få adgang til dine gemte adgangskoder, hvorfor kan ikke malware?
  • Gem dine adgangskoder i et adgangskodestyringssystem som KeePass. Selvfølgelig mister du bekvemmeligheden ved at have browseren automatisk udfylde dine adgangskoder.
  • Brug et tredjepartsværktøj, der integreres med IE og bruger en hovedadgangskode til at administrere dine adgangskoder.
  • Krypter hele din harddisk vha. TrueCrypt. Dette er helt valgfrit og til den ultrabeskyttende, men hvis nogen ikke kan dekryptere dit drev, kan de helt sikkert få noget ud af det.

Begge disse naturligvis siger sig selv, men det forstærker bare vigtigheden af ​​at tage skridt for at holde dit system sikkert.

Download IE PassView fra NirSoft

Læs også

Find et glemt password gemt i Firefox
Hvor sikre er dine gemte Chrome Browser-adgangskoder?
Sådan forhindres folk i at se din browsers gemte adgangskoder
Sådan administreres gemte adgangskoder i Internet Explorer
Sådan administreres alle dine Mac-gemte adgangskoder med adgangskode til nøglering
Sådan finder du dine konti og adgangskoder op på en iPhone eller iPad
Sådan får du din webbrowser til at stoppe med at bede dig om at gemme adgangskoder
Sådan får du vist gemte adgangskoder i Chrome til Android