Jedną z najwygodniejszych przeglądarek narzędziowych jest możliwość zapisywania i automatycznego wypełniania haseł w formularzach logowania. Ponieważ tak wiele witryn wymaga kont i jest dobrze znane (lub powinno być co najmniej), że używanie wspólnego hasła jest dużym nie-nie, menedżer haseł jest prawie niezbędny.
Więc jeśli jesteś użytkownikiem IE i odpowiadasz "tak", aby przeglądarka zapamiętała twoje hasło, jak bezpieczne są te informacje?
Począwszy od Internet Explorera 7 hasło jest przechowywane w rejestrze systemowym (KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) i szyfrowane hasłem logowania użytkownika Windows, używając interfejsu Data Protection API, który wykorzystuje szyfrowanie Triple DES.
W chwili pisania tego tekstu Triple DES jest praktycznie nie do złamania dzięki metodom brutalnej siły. Jednak naprawdę nie ma potrzeby, aby brutalnie wymuszać szyfrowanie po zalogowaniu do konta systemu Windows, na którym przechowywane są dane haseł, ponieważ system Windows zakłada, że po zalogowaniu jest bezpieczny dla aplikacji, aby uzyskać dostęp do tych danych. W związku z tym, że IE nie używa hasła głównego (takiego jak Firefox) do ochrony zapisanych haseł, odpowiednie hasło do konta Windows to klucz deszyfrujący Triple DES.
Mówiąc najprościej, jeśli możesz zalogować się do systemu Windows przy użyciu konta i hasła, możesz zobaczyć zapisane hasła przeglądarki. Korzystając z ogólnodostępnego narzędzia, takiego jak IE PassView firmy NirSoft, można wyświetlać i eksportować wszystkie zapisane hasła do IE.
Po dostrzeżeniu, jak łatwo można uzyskać dostęp do tych danych, następnym logicznym pytaniem jest, czy złośliwe oprogramowanie łatwo może uzyskać dostęp do tych danych. Nie jestem programistą złośliwego oprogramowania, ale nie widzę powodu, dla którego nie mógłbym tego zrobić. Po zeskanowaniu narzędzia IE PassView przy użyciu programu Virus Total można zauważyć, że 55% skanerów, których używają, wykrywa złośliwe oprogramowanie (jednym z nich jest Security Essentials).
O ile w naszym przypadku wynik jest fałszywy pozytywny, pokazuje to, że możliwe jest, że jakiś złośliwy program będzie mógł uzyskać dostęp do tych danych, nawet jeśli system uruchomi antywirus. Dodatkowo, ponieważ zaszyfrowane dane są specyficzne dla użytkownika, żaden monit UAC nie zostanie wywołany przez aplikację próbującą uzyskać dostęp do tych danych. Przed myśleniem, jest to usterka systemu operacyjnego, tak naprawdę musi być inaczej, ponieważ IE i wiele innych aplikacji Windows, które wykorzystują chronioną pamięć, uruchamiałby monit UAC przy każdym otwarciu.
Prosta odpowiedź jest taka, że dane są tak bezpieczne, jak hasło do konta Windows. Jak pokazano powyżej, po zalogowaniu się na konto przy użyciu odpowiedniego hasła wszystkie te dane są łatwo dostępne. Jeśli nie używasz hasła, nie masz żadnej ochrony.
Aby zrobić to o krok dalej, wykonałem reset hasła do konta, aby zobaczyć, co stanie się, gdy hasło zostanie wymuszone poza systemem Windows. Po zresetowaniu zapisałem nowe hasło do adresu Gmaila (blah @) i uruchomiłem IE PassView. Mogłem zobaczyć poprzednią nazwę użytkownika (myemail @), która została zapisana przed zresetowaniem hasła, ale ponieważ hasła do konta (tj. "Hasło główne") użyte do zapisania danych są różne, nie było możliwe odszyfrowanie IE hasło zapisane pod poprzednim hasłem do konta Windows. To zdecydowanie dobra rzecz.
Pod koniec dnia bezpieczeństwo twoich IE zapisanych haseł zależy całkowicie od użytkownika:
Oczywiście oba te elementy są oczywiste, ale tylko wzmacnia to wagę podejmowania kroków, aby zapewnić bezpieczeństwo systemu.
Pobierz IE PassView od NirSoft
