Kaip saugūs jūsų išsaugoti „Internet Explorer“ slaptažodžiai?
Vienas iš patogiausių įrankių naršyklių yra galimybė išsaugoti ir automatiškai užpildyti slaptažodžius prisijungimo formose. Kadangi tiek daug svetainių reikia sąskaitų, ir gerai žinoma (arba turėtų būti bent jau), kad naudojant bendrą slaptažodį yra didelis ne-ne, slaptažodžių tvarkyklė yra beveik būtina.
Taigi, jei esate IE vartotojas ir atsakote „taip“, kad naršyklė prisimintų jūsų slaptažodį, kaip saugi ši informacija?
Kur jie išgelbėti?
Pradedant nuo „Internet Explorer 7“, slaptažodis saugomas sistemos registre (KEY_CURRENT_USER programinė įranga „Microsoft Internet Explorer IntelliForms Storage2“) ir šifruojamas į „Windows“ vartotojo prisijungimo slaptažodį naudojant „Data Protection“ API, kuri naudoja „Triple DES“ šifravimą.
Kiek saugūs yra šie duomenys?
Šio rašymo metu „Triple DES“ praktiškai yra neperleidžiama per brutalių jėgų metodus. Tačiau, kai prisijungiate prie „Windows“ paskyros, kurioje saugomi jūsų slaptažodžio duomenys, „Windows“ daro prielaidą, kad prisijungus prie „Windows“ prielaida, kad prisijungus, saugu naudoti šiuos duomenis. Dėl to, kad IE nenaudojo pagrindinio slaptažodžio (pvz., „Firefox“ siūlo) apsaugoti savo išsaugotus slaptažodžius, atitinkamas „Windows“ paskyros slaptažodis yra „Triple DES“ iššifravimo raktas.
Paprasčiau tariant, jei galite prisijungti prie „Windows“ su paskyra ir slaptažodžiu, galite matyti išsaugotus naršyklės slaptažodžius. Naudodami laisvai prieinamą įrankį, pvz., „NirSoft“ „IE PassView“, galite peržiūrėti ir eksportuoti kiekvieną išsaugotą IE slaptažodį.
Taigi, ar kenkėjiškos programos gali tai pasiekti?
Pamatę, kaip lengva pasiekti šiuos duomenis, kitas logiškas klausimas yra tai, ar kenkėjiškos programos gali lengvai pasiekti šiuos duomenis. Aš nesu kenkėjiškų programų kūrėjas, bet nematau jokios priežasties, dėl kurios jis negalėjo. Jei nuskaitysiu „IE PassView“ įrankį naudojant „Virus Total“, galite matyti, kad 55% naudojamų skaitytuvų aptinka tai kenkėjiška programa (viena iš jų yra „Security Essentials“).
Nors mūsų atveju rezultatas yra klaidingas teigiamas, tai rodo, kad kenkėjiškos programos dalis gali susipažinti su šiais duomenimis net ir tada, kai sistema veikia antivirusine. Be to, kadangi šifruoti duomenys yra konkretūs vartotojo duomenys, UAC užklausa nebus paleista, kai programa bandys pasiekti šiuos duomenis. Prieš galvodamas, kad tai yra OS trūkumas, tai yra taip, kaip ji turi būti kitaip. IE ir daugybė kitų „Windows“ programų, kurios naudoja saugomą saugyklą, sukels UAC užklausą kiekvieną kartą, kai atidarys.
Ką daryti, jei mano kompiuteris pavogtas?
Paprastas atsakymas yra tas, kad šie duomenys yra tokie pat saugūs kaip ir jūsų „Windows“ paskyros slaptažodis. Kaip jau minėjome, prisijungdami prie paskyros naudodami atitinkamą slaptažodį, visi šie duomenys yra lengvai pasiekiami. Jei nenaudojate slaptažodžio, jūs neturite apsaugos.
Norėdami tai padaryti dar vieną žingsnį, aš iš naujo nustatiau paskyros slaptažodį, kad pamatytumėte, kas atsitiktų, kai slaptažodis buvo stipriai pakeistas ne „Windows“. Po atstatymo išsaugojau naują „Gmail“ adreso slaptažodį (blah @) ir bėgo IE PassView. Aš galėjau matyti ankstesnį naudotojo vardą (myemail @), kuris buvo išsaugotas prieš atkuriant slaptažodį, tačiau kadangi paskyros slaptažodžiai (ty „pagrindinis slaptažodis“), naudojami duomenims išsaugoti, yra skirtingi, ji negalėjo iššifruoti IE slaptažodis išsaugotas pagal ankstesnį „Windows“ paskyros slaptažodį. Tai tikrai geras dalykas.
Išvada
Galų gale, jūsų saugomų IE slaptažodžių saugumas visiškai priklauso nuo naudotojo:
- Naudokite labai stiprų „Windows“ paskyros slaptažodį. Atminkite, kad yra komunalinių paslaugų, kurios gali iššifruoti „Windows“ slaptažodžius. Jei kas nors gauna jūsų „Windows“ paskyros slaptažodį, jie turi prieigą prie jūsų išsaugotų IE slaptažodžių.
- Apsaugokite save nuo kenkėjiškų programų. Jei komunalinės paslaugos gali lengvai pasiekti jūsų išsaugotus slaptažodžius, kodėl negalima kenkėjiškų programų?
- Išsaugokite slaptažodžius slaptažodžių valdymo sistemoje, pvz., „KeePass“. Žinoma, jūs netenkate, kad naršyklė automatiškai užpildytų jūsų slaptažodžius.
- Naudokite trečiosios šalies programinę įrangą, kuri sujungia su IE, ir naudoja pagrindinį slaptažodį, kad galėtumėte tvarkyti savo slaptažodžius.
- Šifruokite visą kietąjį diską naudodami „TrueCrypt“. Tai visiškai neprivaloma ir ultra apsaugai, bet jei kas nors negali iššifruoti savo disko, jie tikrai gali iš jo nieko gauti.
Žinoma, abu šie dalykai savaime suprantami, tačiau tai tik sustiprina, kaip svarbu imtis priemonių, kad jūsų sistema būtų saugi.
Atsisiųskite „IE PassView“ iš „NirSoft“