Hvor sikkert er dine gemte Internet Explorer-adgangskoder?
Et af de mest bekvemme værktøjer, browsere tilbyder, er evnen til at gemme og automatisk udfylde dine adgangskoder på login-formularer. Fordi så mange websteder kræver konti, og det er velkendt (eller burde være mindst) at bruge en fælles adgangskode er en stor nej, en adgangskodeadministrator er næsten afgørende.
Så hvis du er en IE-bruger og svar "ja" for at give browseren mulighed for at huske dit kodeord, hvor sikker er disse oplysninger?
Hvor er de reddet?
Fra Internet Explorer 7 gemmes adgangskoden i systemregistret (KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) og krypteres mod Windows-brugerens loginadgangskode ved hjælp af databeskyttelses-API'en, der bruger Triple DES-kryptering.
Hvor sikre er disse data?
På tidspunktet for denne skrivning er Triple DES praktisk talt ubrydelig gennem brute force metoder. Men der er virkelig ikke et behov for at brute tvinge krypteringen, når du er logget ind på Windows-kontoen, hvor dine adgangskode data er gemt som Windows forudsætter, at en gang logget ind, er det sikkert for applikationer at få adgang til disse data. Som følge af, at IE ikke bruger en hovedadgangskode (som f.eks. Firefox tilbyder) for at beskytte sine gemte adgangskoder, er den respektive Windows-kontoadgangskode Triple DES-dekrypteringsnøglen.
Du kan simpelthen sætte, hvis du kan logge ind på Windows med kontoen og adgangskoden, kan du se de gemte browseradgangskoder. Ved hjælp af et frit tilgængeligt værktøj som NirSoft's IE PassView kan du se og eksportere alle gemte IE-adgangskoder.
Så kan malware få adgang til dette?
Efter at have set hvor nemt det er at komme til disse data, er det næste logiske spørgsmål, at malware nemt kan komme til disse data. Jeg er ikke en malware-udvikler, men jeg kan ikke se nogen grund det ikke kunne. Hvis jeg scanner IE PassView-programmet ved hjælp af Virus Total, kan du se 55% af de scannere, de bruger, det er malware (hvoraf den ene er Security Essentials).
Mens resultatet i vores tilfælde er en falsk positiv, viser det sig, at det er muligt for et stykke malware at få adgang til disse data uopdaget, selvom systemet kører anti-virus. Da de krypterede data er brugerspecifikke, vil ingen UAC prompt blive udløst af en applikation, der forsøger at få adgang til disse data. Før du tænker på dette er en fejl i operativsystemet, er det virkelig den måde, det skal være ellers IE, og en række andre Windows-programmer, der udnytter den beskyttede opbevaring, vil udløse en UAC-prompt hver gang de åbnes.
Hvad nu hvis min computer bliver stjålet?
Det enkle svar er, at disse data er lige så sikre som din Windows-adgangskode. Som vi har vist ovenfor, når du logger ind på kontoen ved hjælp af den korrekte adgangskode, er alle disse data let tilgængelige. Hvis du ikke bruger et kodeord, har du ingen beskyttelse.
For at tage dette et skridt videre, gjorde jeg en nulstilling af kontoadgangskoden for at se, hvad der ville ske, når adgangskoden blev kraftigt ændret uden for Windows. Efter nulstillingen gemte jeg en ny Gmail-adgangskode (blah @) og kørte IE PassView. Jeg kunne se det forrige brugernavn (myemail @), som blev gemt, før adgangskoden blev nulstillet, men fordi kontoadgangskoderne (dvs. "master password"), der bruges til at gemme dataene, er forskellige, kunne den ikke dekryptere IE adgangskode gemt under det tidligere Windows-adgangskode. Dette er helt sikkert en god ting.
Konklusion
I slutningen af dagen afhænger sikkerheden af dine IE-gemte adgangskoder helt på brugeren:
- Brug en meget stærk Windows-adgangskode. Husk, at der er værktøjer, der kan dechiffrere Windows-adgangskoder. Hvis nogen får din Windows-kontoadgangskode, har de adgang til dine gemte IE-adgangskoder.
- Beskyt dig mod malware. Hvis hjælpeprogrammer nemt kan få adgang til dine gemte adgangskoder, hvorfor kan ikke malware?
- Gem dine adgangskoder i et kodeordstyringssystem som KeePass. Selvfølgelig mister du bekvemmeligheden ved at have browseren automatisk udfyld dine adgangskoder.
- Brug et 3rd party-værktøj, som integreres med IE og bruger en masteradgangskode til at administrere dine adgangskoder.
- Krypter hele din harddisk ved hjælp af TrueCrypt. Dette er helt valgfrit og for ultra-beskyttende, men hvis nogen ikke kan dekryptere dit drev, kan de sikkert få noget ud af det.
Selvfølgelig siger begge disse selvfølgelig, men det styrker bare vigtigheden af at tage skridt til at holde systemet sikkert.
Download IE PassView fra NirSoft