รหัสผ่าน Internet Explorer ที่บันทึกไว้มีความปลอดภัยเพียงใด
หนึ่งในเครื่องมือที่เบราว์เซอร์ที่สะดวกที่สุดนำเสนอคือความสามารถในการบันทึกและใส่รหัสผ่านของคุณล่วงหน้าในแบบฟอร์มการเข้าสู่ระบบโดยอัตโนมัติ เนื่องจากเว็บไซต์จำนวนมากต้องการบัญชีและเป็นที่รู้จักกันดี (หรือควรมีอย่างน้อย) ว่าการใช้รหัสผ่านที่ใช้ร่วมกันนั้นเป็นเรื่องที่ไม่ใหญ่ตัวจัดการรหัสผ่านจึงจำเป็นอย่างยิ่ง.
ดังนั้นหากคุณเป็นผู้ใช้ IE และตอบว่า“ ใช่” เพื่ออนุญาตให้เบราว์เซอร์จำรหัสผ่านของคุณได้ข้อมูลนี้จะปลอดภัยเพียงใด?
พวกเขาอยู่ที่ไหนบันทึก?
เริ่มต้นที่ Internet Explorer 7 รหัสผ่านจะถูกเก็บไว้ในรีจิสทรีของระบบ (KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) และเข้ารหัสกับรหัสผ่านการเข้าสู่ระบบของผู้ใช้ Windows โดยใช้ Data Protection API ซึ่งใช้การเข้ารหัส Triple DES.
ข้อมูลนี้มีความปลอดภัยเพียงใด?
ในขณะที่เขียนนี้ Triple DES นั้นไม่สามารถแตกได้จริงโดยวิธีการบังคับเดรัจฉาน อย่างไรก็ตามไม่จำเป็นต้องบังคับให้มีการเข้ารหัสเมื่อคุณลงชื่อเข้าใช้บัญชี Windows ที่เก็บข้อมูลรหัสผ่านของคุณเป็น Windows ทำให้สันนิษฐานว่าเมื่อเข้าสู่ระบบแล้วจะปลอดภัยสำหรับแอปพลิเคชันในการเข้าถึงข้อมูลนี้ เนื่องจาก IE ไม่ได้ใช้รหัสผ่านหลัก (เช่นมีอะไรให้ Firefox) เพื่อป้องกันรหัสผ่านที่บันทึกไว้รหัสผ่านบัญชี Windows นั้นเป็นรหัสถอดรหัส Triple DES.
ใส่เพียงแค่ถ้าคุณสามารถเข้าสู่ระบบ Windows ด้วยบัญชีและรหัสผ่านคุณสามารถดูรหัสผ่านเบราว์เซอร์ที่บันทึกไว้ การใช้ยูทิลิตีที่มีอิสระเช่น IE PassView ของ NirSoft คุณสามารถดูและส่งออกรหัสผ่าน IE ที่บันทึกไว้ได้.
มัลแวร์สามารถเข้าถึงสิ่งนี้ได้?
หลังจากได้เห็นว่าการเข้าถึงข้อมูลนี้เป็นเรื่องง่ายเพียงใดคำถามตรรกะถัดไปคือมัลแวร์สามารถเข้าถึงข้อมูลนี้ได้อย่างง่ายดาย ฉันไม่ใช่นักพัฒนามัลแวร์ แต่ฉันไม่เห็นเหตุผลที่ไม่สามารถทำได้ หากฉันสแกนยูทิลิตี้ IE PassView โดยใช้ Virus Total คุณจะเห็น 55% ของสแกนเนอร์ที่ใช้ตรวจพบว่าเป็นมัลแวร์ (หนึ่งในนั้นคือ Security Essentials).
แม้ว่าในกรณีของเราผลลัพธ์จะเป็นผลบวกที่เป็นเท็จ แต่ก็แสดงให้เห็นว่าเป็นไปได้ที่มัลแวร์บางส่วนในการเข้าถึงข้อมูลนี้จะไม่ถูกตรวจจับแม้ว่าระบบจะเรียกใช้โปรแกรมป้องกันไวรัสก็ตาม นอกจากนี้เนื่องจากข้อมูลที่เข้ารหัสเป็นข้อมูลเฉพาะของผู้ใช้จะไม่มีการกระตุ้นให้ใช้ UAC โดยแอปพลิเคชันที่พยายามเข้าถึงข้อมูลนี้ ก่อนที่จะคิดว่านี่เป็นข้อบกพร่องในระบบปฏิบัติการนี่เป็นวิธีที่มันเป็นอย่างอื่นอย่าง IE และโฮสต์ของแอปพลิเคชั่น Windows อื่น ๆ ที่ใช้พื้นที่เก็บข้อมูลที่มีการป้องกันจะทำให้เกิด UAC prompt ทุกครั้ง.
จะทำอย่างไรถ้าคอมพิวเตอร์ของฉันถูกขโมย?
คำตอบง่ายๆคือข้อมูลนี้ปลอดภัยเท่ากับรหัสผ่านบัญชี Windows ของคุณ ดังที่เราได้แสดงไว้ข้างต้นเมื่อคุณเข้าสู่บัญชีโดยใช้รหัสผ่านที่เหมาะสมข้อมูลทั้งหมดนี้สามารถเข้าถึงได้ง่าย หากคุณใช้รหัสผ่านที่ไม่มีคุณไม่มีการป้องกัน.
ในการทำขั้นตอนต่อไปฉันได้ทำการรีเซ็ตรหัสผ่านของบัญชีเพื่อดูว่าจะเกิดอะไรขึ้นเมื่อรหัสผ่านถูกเปลี่ยนไปอย่างแข็งขันนอก Windows หลังจากรีเซ็ตฉันบันทึกรหัสผ่านที่อยู่ Gmail ใหม่ (blah @) และรัน IE PassView ฉันสามารถเห็นชื่อผู้ใช้ก่อนหน้า (myemail @) ซึ่งถูกบันทึกไว้ก่อนที่รหัสผ่านจะถูกรีเซ็ต แต่เนื่องจากรหัสผ่านของบัญชี (เช่น“ รหัสผ่านหลัก”) ที่ใช้ในการบันทึกข้อมูลแตกต่างกันจึงไม่สามารถถอดรหัส IE ได้ รหัสผ่านที่บันทึกไว้ภายใต้รหัสผ่านบัญชี Windows ก่อนหน้า นี่เป็นสิ่งที่ดีอย่างแน่นอน.
ข้อสรุป
ในตอนท้ายของวันความปลอดภัยของ IE ที่บันทึกไว้รหัสผ่านขึ้นอยู่กับผู้ใช้ทั้งหมด:
- ใช้รหัสผ่านบัญชี Windows ที่แข็งแกร่งมาก โปรดทราบว่ามีโปรแกรมอรรถประโยชน์ที่สามารถถอดรหัสรหัสผ่าน Windows ได้ หากมีคนรับรหัสผ่านบัญชี Windows ของคุณพวกเขาก็สามารถเข้าถึงรหัสผ่าน IE ที่บันทึกไว้ได้.
- ป้องกันตนเองจากมัลแวร์ หากยูทิลิตี้สามารถเข้าถึงรหัสผ่านที่บันทึกไว้ของคุณได้ง่ายทำไมมัลแวร์ถึงไม่สามารถทำได้?
- บันทึกรหัสผ่านของคุณในระบบการจัดการรหัสผ่านเช่น KeePass แน่นอนว่าคุณไม่สะดวกที่จะให้เบราว์เซอร์ป้อนรหัสผ่านของคุณโดยอัตโนมัติ.
- ใช้ยูทิลิตี้ของบุคคลที่สามซึ่งทำงานร่วมกับ IE และใช้รหัสผ่านหลักเพื่อจัดการรหัสผ่านของคุณ.
- เข้ารหัสฮาร์ดไดรฟ์ทั้งหมดของคุณโดยใช้ TrueCrypt นี่เป็นตัวเลือกที่สมบูรณ์และเพื่อการปกป้องเป็นพิเศษ แต่ถ้ามีคนไม่สามารถถอดรหัสไดรฟ์ของคุณได้พวกเขาก็สามารถลบสิ่งใด ๆ ออกจากมันได้.
แน่นอนว่าทั้งสองอย่างนี้ไม่ต้องพูด แต่นี่เป็นการตอกย้ำความสำคัญของการทำตามขั้นตอนเพื่อให้ระบบของคุณปลอดภัย.
ดาวน์โหลด IE PassView จาก NirSoft
