כיצד מאובטח סיסמאות Internet Explorer שלך?
אחד הכלים הנוחים ביותר דפדפנים מציעים את היכולת לשמור באופן אוטומטי מראש את הסיסמאות בטפסים התחברות. כי כל כך הרבה אתרים דורשים חשבונות וזה ידוע (או צריך להיות לפחות), כי באמצעות סיסמה משותפת היא לא גדול לא, מנהל הסיסמה הוא כמעט חיוני.
אז אם אתה משתמש ב- IE וענה "כן" כדי לאפשר לדפדפן לזכור את הסיסמה שלך, עד כמה מאובטח המידע הזה?
איפה הם נשמרים?
החל מ- Internet Explorer 7, הסיסמה מאוחסנת ברישום המערכת (KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) ומוצפנת על בסיס סיסמת ההתחברות של המשתמש ב- Windows באמצעות ממשק ה- API להגנה על נתונים המשתמש בהצפנת Triple DES.
עד כמה הנתונים מאובטחים?
בזמן כתיבת שורות אלה, טריפל DES הוא כמעט בלתי שבירה באמצעות שיטות כוח פראי. עם זאת, באמת אין צורך כוח בכוח ההצפנה ברגע שאתה מחובר לחשבון Windows שבו הנתונים הסיסמה מאוחסנים כמו Windows עושה את ההנחה כי פעם אחת מחובר זה בטוח עבור יישומים לגשת לנתונים אלה. כתוצאה של IE לא באמצעות סיסמה בסיסית (כגון מה מציעה פיירפוקס) כדי להגן על הסיסמאות שנשמרו, את הסיסמה המתאימה של Windows הסיסמה היא מפתח פענוח משולשת DES.
במילים פשוטות, אם אתה יכול להיכנס ל- Windows עם החשבון והסיסמה, אתה יכול לראות את סיסמאות הדפדפן שנשמרו. באמצעות כלי שירות זמין באופן חופשי, כגון PassView של NirSoft IE, אתה יכול להציג ולייצא כל סיסמת IE שנשמר.
אז יכול תוכנה זדונית גישה זו?
לאחר שראה כמה קל להגיע לנתונים אלה, השאלה הלוגית הבאה היא תוכנה זדונית בקלות להגיע לנתונים אלה. אני לא מפתח תוכנה זדונית, אבל אני לא רואה שום סיבה שזה לא יכול. אם אני סורק את השירות IE PassView באמצעות וירוס סך הכל, אתה יכול לראות 55% של סורקים הם משתמשים לזהות את זה תוכנות זדוניות (אחד מהם הוא יסודות האבטחה).
בעוד במקרה שלנו התוצאה היא חיובית שקר, זה מראה כי זה אפשרי עבור חתיכת תוכנה זדונית לגשת לנתונים אלה שלא זוהה גם כאשר המערכת פועלת אנטי וירוס. בנוסף, מכיוון שהנתונים המוצפנים הם ספציפיים למשתמש, לא תוצג הנחיה של UAC על ידי יישום המנסה לגשת לנתונים אלה. לפני שחושבים שזה פגם במערכת ההפעלה, זה באמת הדרך שבה זה צריך להיות אחרת IE ו שורה של יישומי Windows אחרים אשר לנצל את האחסון מוגן יפעילו UAC הפקודה בכל פעם שהם פתחו.
מה אם המחשב שלי נגנב?
התשובה הפשוטה היא שהנתונים האלה מאובטחים כמו סיסמת חשבון Windows שלך. כפי שהראנו לעיל, כאשר אתה מתחבר לחשבון באמצעות הסיסמה המתאימה כל הנתונים האלה נגישים בקלות. אם אינך משתמש בסיסמה, אין לך הגנה.
כדי לעשות את זה צעד נוסף, עשיתי אתחול של סיסמת החשבון כדי לראות מה יקרה כאשר הסיסמה הייתה שונה בכוח מחוץ Windows. לאחר האיפוס, שמרתי סיסמת כתובת חדשה של Gmail (blah @) והפעלתי את IE PassView. הצלחתי לראות את שם המשתמש הקודם (myemail @) שנשמר לפני איפוס הסיסמה, אבל בגלל סיסמאות החשבון (כלומר, "סיסמת הורים") המשמש לשמירת הנתונים הם שונים, זה לא היה מסוגל לפענח את IE הסיסמה נשמרה תחת הסיסמה הקודמת של חשבון Windows. זה בהחלט דבר טוב.
סיכום
בסופו של דבר, האבטחה של סיסמאות IE שנשמרו תלויה לחלוטין על המשתמש:
- השתמש בסיסמה חזקה מאוד של סיסמת Windows. זכור, יש כלי עזר שיכולים לפענח סיסמאות של Windows. אם מישהו מקבל את סיסמת חשבון Windows שלך אז יש להם גישה סיסמאות IE שנשמרו שלך.
- הגן על עצמך מפני תוכנות זדוניות. אם כלי שירות יכולים לגשת בקלות לסיסמאות השמורות שלך, מדוע לא ניתן להשתמש בתוכנה זדונית?
- שמור את הסיסמאות שלך במערכת לניהול סיסמאות כגון KeePass. כמובן, אתה משוחרר הנוחות של בעל הדפדפן אוטומטי למלא את הסיסמאות שלך.
- השתמש בכלי עזר של צד שלישי המשלב ב- IE ומשתמש בסיסמת מנהל כדי לנהל את הסיסמאות שלך.
- להצפין את כל הכונן הקשיח באמצעות TrueCrypt. זה אופציונלי לחלוטין עבור מגן אולטרה, אבל אם מישהו לא יכול לפענח את הכונן הם בהחלט יכולים לקבל משהו מחוץ לזה.
כמובן ששניהם הולכים בלי לומר, אבל זה רק מחזק את החשיבות של נקיטת צעדים כדי לשמור על המערכת שלך מאובטח.
הורד IE PassView מ - NirSoft