Koliko su sigurne vaše spremljene lozinke za Internet Explorer?
Jedna od najprikladnijih alata za pregledavanje je mogućnost spremanja i automatskog popunjavanja vaših lozinki na obrascima za prijavu. Budući da tako mnogo web-lokacija zahtijevaju račune i dobro je poznato (ili bi trebalo biti barem) da je upotreba zajedničke zaporke veliki ne-ne, upravitelj zaporki je gotovo bitan.
Dakle, ako ste korisnik IE i odgovorite "da" kako biste omogućili pregledniku da zapamti vašu lozinku, koliko je sigurna ta informacija?
Gdje su spašeni?
Počevši od preglednika Internet Explorer 7, lozinka se pohranjuje u registru sustava (KEY_CURRENT_USER, Microsoft Internet Explorer, IntelliForms, Storage2) i šifrira se na zaporku za prijavu korisnika sustava Windows pomoću API-ja za zaštitu podataka koji koristi Triple DES enkripciju.
Koliko su ti podaci sigurni?
U vrijeme pisanja ovog teksta, Triple DES praktički je neraskidiv kroz metode brutalne sile. Međutim, nakon što ste prijavljeni na Windows račun, gdje se podaci za zaporku pohranjuju kao Windows, pretpostavka je da je jednom prijavljen sigurno da aplikacije pristupaju tim podacima sigurno nema potrebe za brutalnim šifriranjem. Zbog toga što IE ne koristi glavnu lozinku (kao što je ono što Firefox nudi) kako bi zaštitio svoje spremljene zaporke, odgovarajuća lozinka za Windows račun je Triple DES ključ za dešifriranje.
Jednostavno rečeno, ako se možete prijaviti na Windows s računom i lozinkom, možete vidjeti spremljene lozinke preglednika. Koristeći slobodno dostupan uslužni program kao što je NirSoftov IE PassView, možete pregledati i izvoziti svaku spremljenu IE lozinku.
Može li malware pristupiti ovome?
Nakon što vidim kako je lako doći do tih podataka, sljedeće logično pitanje je može li zlonamjerni softver lako doći do tih podataka. Ja nisam programer zlonamjernih programa, ali ne vidim razlog zbog kojeg nije mogao. Ako skeniram uslužni program IE PassView pomoću programa Virus Total, možete vidjeti da je 55% skenera koje koriste otkrivaju da je to zlonamjerni softver (jedan od njih je Security Essentials).
Dok je u našem slučaju rezultat lažno pozitivan, to pokazuje da je moguće da dio zlonamjernog softvera ne pristupi tim podacima čak i kada sustav pokreće antivirus. Osim toga, budući da su šifrirani podaci specifični za korisnika, neće se pokrenuti UAC prompt od aplikacije koja pokušava pristupiti tim podacima. Prije razmišljanja da je ovo mana u OS-u, to je stvarno način na koji mora biti drugačije IE i niz drugih Windows aplikacija koje koriste zaštićenu pohranu izazvale bi UAC prompt svaki put kad bi se otvorile..
Što ako je moje računalo ukradeno?
Jednostavan odgovor je da su ti podaci sigurni kao lozinka za Windows račun. Kao što smo gore pokazali, kada se prijavite na račun koristeći odgovarajuću lozinku, svi ovi podaci su lako dostupni. Ako ne koristite lozinku, nemate nikakvu zaštitu.
Da bih ovo učinio korak dalje, izvršio sam ponovno postavljanje zaporke računa da bih vidio što će se dogoditi kada se lozinka nasilno promijeni izvan sustava Windows. Nakon resetiranja spremio sam novu lozinku za Gmail adresu (blah @) i pokrenuo IE PassView. Mogao sam vidjeti prethodno korisničko ime (myemail @) koje je spremljeno prije poništavanja zaporke, ali zbog toga što su lozinke računa (tj. "Glavna zaporka") koje se koriste za spremanje podataka različite, nije mogla dešifrirati IE zaporku spremljenu pod prethodnom zaporkom računa Windowsa. Ovo je definitivno dobra stvar.
Zaključak
Na kraju dana sigurnost zaporki koje ste spremili za IE potpuno ovisi o korisniku:
- Upotrijebite vrlo jaku lozinku za Windows račun. Imajte na umu da postoje uslužni programi koji mogu dešifrirati Windows lozinke. Ako netko dobije vašu lozinku za Windows račun, tada ima pristup spremljenim IE lozinkama.
- Zaštitite se od zlonamjernog softvera. Ako uslužni programi mogu lako pristupiti spremljenim zaporkama, zašto ne mogu zlonamjerni softver?
- Spremite svoje lozinke u sustav za upravljanje lozinkama kao što je KeePass. Naravno, gubite praktičnost da preglednik automatski popuni vaše lozinke.
- Koristite uslužni program treće strane koji se integrira s IE i koristi glavnu lozinku za upravljanje lozinkama.
- Šifrirajte cijeli tvrdi disk koristeći TrueCrypt. Ovo je potpuno neobavezno i za ultra zaštitne, ali ako netko ne može dešifrirati vaš pogon oni sigurno mogu dobiti ništa od toga.
Naravno, obje ove ide bez pojma, ali to samo pojačava važnost poduzimanja koraka kako bi vaš sustav bio siguran.
Preuzmite IE PassView iz NirSofta