Takže ak ste používateľ IE a odpovedzte "áno", aby si mohol prehliadač zapamätať vaše heslo, ako je táto informácia bezpečná?
Kde sú uložené?
Počínajúc programom Internet Explorer 7 sa v systémovom registri (KEY_CURRENT_USER Software Microsoft Internet Explorer IntelliForms Storage2) ukladá heslo a používa sa prihlasovacie heslo používateľa systému Windows pomocou rozhrania API ochrany údajov, ktoré používa šifrovanie Triple DES.
Ako sú tieto údaje bezpečné?
V čase tohto písania je Triple DES prakticky nerozbitná metódami hrubej sily. Avšak v skutočnosti nie je potrebné robiť silné šifrovanie po prihlásení do účtu Windows, kde sú uložené vaše heslá, pretože systém Windows predpokladá, že po prihlásení je pre aplikácie bezpečné prístup k týmto údajom. V dôsledku toho, že IE nevyužíva hlavné heslo (ako napríklad to, čo Firefox ponúka) na ochranu svojich uložených hesiel, príslušným heslom účtu Windows je trojblokový DES dešifrovací kľúč.
Jednoducho povedané, ak sa môžete prihlásiť do systému Windows pomocou účtu a hesla, uvidíte uložené heslá prehliadača. Pomocou voľne dostupného nástroja, ako je IE PassView aplikácie NirSoft, môžete zobraziť a exportovať každé uložené heslo IE.
Takže môže k nemu pristupovať malware?
Po zistení, ako ľahké sa dostať k týmto údajom, ďalšou logickou otázkou je, že malware sa ľahko dostane k týmto údajom. Nie som vývojár škodlivého softvéru, ale nevidím žiadny dôvod, prečo by to nemohol. Ak skenujem nástroj IE PassView pomocou programu Virus Total, môžete vidieť, že 55% skenerov, ktoré používajú, zisťuje, že ide o škodlivý softvér (jeden z nich je Security Essentials).
Čo keby bol počítač ukradnutý?
Jednoduchá odpoveď je, že tieto údaje sú rovnako bezpečné ako vaše heslo účtu Windows. Ako sme už ukázali, pri prihlásení do účtu pomocou príslušného hesla sú všetky tieto údaje ľahko dostupné. Ak nepoužívate žiadne heslo, nemáte žiadnu ochranu.
Ak chcete urobiť ďalší krok, urobil som reset hesla účtu, aby som zistil, čo sa stane, keď bolo heslo silne zmenené mimo systému Windows. Po obnovení som uložil nové heslo pre adresu služby Gmail (blah @) a spustil IE PassView. Bol som schopný vidieť predchádzajúce užívateľské meno (myemail @), ktoré bolo uložené pred obnovením hesla, ale pretože heslá účtu (tj "hlavné heslo") použité na uloženie dát sú iné, nebolo možné dešifrovať IE heslo uložené pod predchádzajúcim heslom účtu Windows. To je určite dobrá vec.
záver
Na konci dňa bezpečnosť hesiel uložených v IE závisí úplne od používateľa:
-
Použite veľmi silné heslo účtu Windows. Majte na pamäti, že existujú nástroje, ktoré môžu dešifrovať heslá Windows. Ak niekto dostane vaše heslo účtu Windows, potom má prístup k vašim uloženým heslam IE.
- Chráňte sa pred škodlivým softvérom. Ak pomôcky sú schopné ľahko pristupovať k vašim uloženým heslám, prečo to nie je škodlivý softvér?
-
Heslá uložte v systéme správy hesiel, ako je KeePass. Samozrejme, strácate pohodlie prehliadača automaticky vyplniť heslá.
- Použite nástroj tretej strany, ktorý sa integruje s IE a používa hlavné heslo na správu hesiel.
- Šifrujte celý pevný disk pomocou programu TrueCrypt. To je úplne voliteľné a pre ultra ochranný, ale ak niekto nemôže dešifrovať váš disk, oni určite môžu dostať niečo z toho.
Samozrejme, že obe z nich sú samozrejmé, ale to len posilňuje dôležitosť krokov na udržanie vášho systému bezpečný.
Stiahnite si IE PassView od spoločnosti NirSoft