Jedan od najpovoljnijih alata koji nude preglednicije mogućnost spremanja i automatski ispunjavanja lozinki na obrascima za prijavu. Budući da toliko web-lokacija zahtijeva račune i dobro je poznato (ili bi ih trebalo biti barem) da je korištenje zajedničke lozinke veliko ne-ne, upravitelj lozinki je gotovo neophodan.
Dakle, ako ste korisnik IE-a i odgovorite "da" kako biste omogućili pregledniku da pamti vašu lozinku, koliko su ove informacije sigurne?
Gdje su spašeni?
Počevši od Internet Explorera 7, lozinka jepohranjuju se u registar sustava (KEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerIntelliFormsStorage2) i šifriraju se protiv lozinke za prijavu korisnika Windowsa pomoću API-ja za zaštitu podataka koji koristi trostruko DES šifriranje.
Koliko su ti podaci sigurni?
U vrijeme pisanja ovog teksta, Triple DES jepraktički neraskidiva metodama grube sile. Međutim, uistinu ne treba silno šifrirati šifriranje nakon što ste prijavljeni na Windows račun na kojem su pohranjeni vaši podaci o zaporki jer Windows pretpostavlja da je nakon što se prijavite siguran da bi aplikacije mogli pristupiti tim podacima. Kao rezultat da IE ne koristi glavnu lozinku (poput onoga što nudi Firefox) za zaštitu spremljenih lozinki, odgovarajuća lozinka za Windows račun je trostruki ključ za dešifriranje Triple DES.
Jednostavno rečeno, ako se možete prijaviti u Windows pomoćuračuna i zaporke, možete vidjeti spremljene lozinke preglednika. Korištenjem slobodno dostupnog uslužnog programa, kao što je NErSoftov IE PassView, možete pregledavati i izvoziti svaku spremljenu IE lozinku.
Pa može li zlonamjerni softver ovo pristupiti?
Nakon što ste vidjeli koliko je lako doći do tih podataka,Sljedeće je logično pitanje može li zlonamjerni softver jednostavno doći do tih podataka. Nisam programer zlonamjernog softvera, ali ne vidim nijedan razlog da to ne bi mogao. Ako skeniram uslužni program IE PassView pomoću Virus Total, možete vidjeti da 55% skenera koje koriste otkriva da je zlonamjerni softver (jedan od njih je Security Essentials).
U našem slučaju rezultat je lažno pozitivan,to pokazuje da je moguće da dio zlonamjernog softvera pristupi tim podacima neotkriven čak i kada sustav pokreće antivirus. Pored toga, zbog kriptiranih podataka koji su specifični za korisnika, aplikacija koja pokušava pristupiti tim podacima neće pokrenuti UAC prompt. Prije nego što razmislimo o pogrešci u OS-u, ovo je stvarno način na koji to inače mora biti IE i mnoštvo drugih Windows aplikacija koje koriste zaštićenu pohranu pokrenuće UAC prompt pri svakom otvaranju.
Što ako mi se ukrade računalo?
Jednostavan odgovor je da su ovi podaci jednako sigurnizaporku vašeg Windows računa. Kao što smo pokazali gore, kada se prijavite na račun pomoću odgovarajuće lozinke, svi ovi podaci su lako dostupni. Ako ne koristite lozinku, nemate zaštitu.
Da napravim ovaj korak dalje, učinio sam resetiranjelozinku računa da biste vidjeli što će se dogoditi kada je lozinka na silu promijenjena izvan sustava Windows. Nakon resetiranja spremio sam novu lozinku za Gmail adresu (bla @) i pokrenuo IE PassView. Uspio sam vidjeti prethodno korisničko ime (myemail @) koje je spremljeno prije resetiranja lozinke, ali zbog toga što su lozinke računa (tj. "Glavna lozinka") koje se koriste za spremanje podataka različite, nisam mogao dešifrirati IE lozinka spremljena pod prethodnom lozinkom računa za Windows. To je definitivno dobra stvar.
Zaključak
Na kraju dana, sigurnost vaših spremljenih IE lozinki potpuno ovisi o korisniku:
- Koristite vrlo jaku lozinku za Windows račun. Imajte na umu da postoje uslužni programi koji mogu dešifrirati lozinke za Windows. Ako netko dobije lozinku za vaš Windows račun, tada ima pristup spremljenim IE lozinkama.
- Zaštitite se od zlonamjernog softvera. Ako uslužni programi mogu lako pristupiti spremljenim zaporkama, zašto ne mogu zlonamjerni softver?
- Spremite svoje lozinke u sustav za upravljanje lozinkom kao što je KeePass. Naravno, gubite praktičnost da preglednik automatski unosi svoje lozinke.
- Upotrijebite uslužni program treće strane koji se integrira s IE-om i koristi glavnu lozinku za upravljanje vašim lozinkama.
- Šifrirajte cijeli tvrdi disk pomoću TrueCrypt. Ovo je potpuno neobavezno i za ultra zaštitno stanje, ali ako netko ne može dešifrirati vaš pogon, zasigurno može sve riješiti.
Naravno, i jedno i drugo ne podrazumijeva, ali to samo pojačava važnost poduzimanja koraka kako bi vaš sustav bio siguran.
Preuzmite IE PassView s NirSofta
