Hur säkra är dina sparade Internet Explorer-lösenord?
Ett av de mest praktiska verktygen som webbläsare erbjuder är möjligheten att spara och automatiskt fylla i dina lösenord på inloggningsformulär. Eftersom så många webbplatser kräver konton och det är välkänt (eller borde vara minst) att använda ett gemensamt lösenord är ett stort nej, en lösenordsansvarig är nästan nödvändig.
Så om du är en IE-användare och svara "ja" för att låta webbläsaren komma ihåg ditt lösenord, hur säker är den här informationen?
Var är de räddade?
I Internet Explorer 7 lagras lösenord i systemregistret (KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) och ciphered mot Windows-användarens inloggningslösenord med dataskydd API som använder Triple DES-kryptering.
Hur säker är denna data?
Vid tidpunkten för detta skrivande är Triple DES praktiskt taget oföränderlig genom brute force-metoder. Det finns emellertid inget behov av att brute tvinga krypteringen när du är inloggad på Windows-kontot där ditt lösenordsdata lagras som Windows antar att en gång inloggad det är säkert för applikationer att komma åt dessa data. Som ett resultat av att IE inte använder ett huvudlösenord (t.ex. vad Firefox erbjuder) för att skydda sina sparade lösenord är respektive lösenord för lösenordet DES DES-krypteringsnyckeln.
Enkelt uttryckt, om du kan logga in på Windows med kontot och lösenordet kan du se de sparade webbläsarens lösenord. Med hjälp av ett fritt tillgängligt verktyg som NirSoft's IE PassView kan du visa och exportera alla sparade IE-lösenord.
Så kan skadlig kod få tillgång till detta?
Efter att ha sett hur lätt det är att komma till dessa data, kan den följande logiska frågan vara att skadlig kod enkelt kommer till dessa data. Jag är ingen malwareutvecklare, men jag ser ingen anledning att det inte kunde. Om jag skannar IE PassView-verktyget med Virus Total kan du se 55% av de skannrar som de använder upptäcker det är skadlig programvara (varav en är Security Essentials).
Även om resultatet i vårt fall är falskt positivt visar det sig att det är möjligt för en del av skadlig programvara att komma åt den här informationen oupptäckt även när systemet kör anti-virus. Dessutom, eftersom den krypterade data är användarspecifik kommer ingen UAC prompt att utlösas av en applikation som försöker få åtkomst till denna data. Innan du tänker på detta är ett fel i operativsystemet, så är det verkligen det sätt som det måste vara annars. IE och en mängd andra Windows-program som använder den skyddade lagringen skulle utlösa en UAC-prompten varje gång de öppnade.
Vad händer om datorn är stulen?
Det enkla svaret är att dessa data är lika säkra som ditt lösenord för Windows-kontot. Som vi har visat ovan, när du loggar in på kontot med lämpligt lösenord är alla dessa data lättillgängliga. Om du inte använder något lösenord har du inget skydd.
För att ta det här ett steg längre gjorde jag en återställning av lösenordet för att se vad som skulle hända när lösenordet ändrades kraftigt utanför Windows. Efter återställningen sparade jag ett nytt Gmail-lösenord (blah @) och körde IE PassView. Jag kunde se det tidigare användarnamnet (myemail @) som sparades innan lösenordet återställdes, men eftersom lösenorden för kontot (dvs "huvudlösenord") som används för att spara data är annorlunda, kunde den inte dekryptera IE lösenord som sparats under det tidigare lösenordet för Windows-kontot. Detta är definitivt en bra sak.
Slutsats
I slutet av dagen är säkerheten för dina IE-sparade lösenord helt beroende av användaren:
- Använd ett mycket starkt lösenord för Windows-kontot. Tänk på att det finns verktyg som kan dechifiera Windows-lösenord. Om någon får ditt lösenord för Windows-konto har de tillgång till dina sparade IE-lösenord.
- Skydda dig mot skadlig kod. Om verktygen lätt kan komma åt dina sparade lösenord, varför kan det inte skadas?
- Spara dina lösenord i ett lösenordshanteringssystem som KeePass. Naturligtvis förlorar du bekvämligheten med att webbläsaren automatiskt fyller i dina lösenord.
- Använd ett tredje partverktyg som integreras med IE och använder ett huvudlösenord för att hantera dina lösenord.
- Kryptera hela hårddisken med TrueCrypt. Detta är helt frivilligt och för ultra-skyddande, men om någon inte kan dekryptera din enhet kan de säkert få något av det.
Självfallet går det självklart, men det förstärker bara vikten av att vidta åtgärder för att hålla systemet tryggt.
Hämta IE PassView från NirSoft