Почетна » како да » Колико су безбедне лозинке за Интернет Екплорер?

    Колико су безбедне лозинке за Интернет Екплорер?

    Један од најпогоднијих алата који нуди прегледник је могућност да сачувате и аутоматски попуните ваше лозинке на обрасцима за пријаву. Због тога што многи сајтови захтевају налоге и добро је познато (или бар требало да буде) да је употреба заједничке лозинке велики не-не, менаџер лозинки је скоро неопходан.

    Дакле, ако сте корисник ИЕ и одговорите са „да“ да бисте дозволили прегледачу да запамти вашу лозинку, колико је безбедна та информација?

    Где су спашени?

    Почевши од Интернет Екплорера 7, лозинка се чува у системском регистру (КЕИ_ЦУРРЕНТ_УСЕР, Мицрософт Интернет Екплорер, ИнтеллиФормс, Стораге2) и шифрује се у лозинком за пријављивање Виндовс корисника користећи АПИ за заштиту података који користи Трипле ДЕС енкрипцију.

    Колико су ти подаци сигурни?

    У време писања овог текста, Трипле ДЕС је практично несаломљив методом бруталне силе. Међутим, заиста не постоји потреба да се шифрирање грубе силе изврши након што се пријавите на Виндовс рачун, гдје се подаци о вашој лозинки похрањују као што Виндовс претпоставља да је након пријаве логично да апликације приступају тим подацима. Као резултат тога што ИЕ не користи главну лозинку (као што је оно што Фирефок нуди) да би заштитио своје сачуване лозинке, одговарајућа лозинка за Виндовс налог је Трипле ДЕС кључ за дешифровање.

    Једноставно речено, ако се можете пријавити на Виндовс помоћу рачуна и лозинке, можете видјети спремљене лозинке прегледника. Користећи слободно доступан услужни програм као што је НирСофтов ИЕ ПассВиев, можете прегледати и извозити сваку спремљену ИЕ лозинку.

    Може ли и малваре приступити овоме?

    Након што видимо како је лако доћи до ових података, сљедеће логично питање је може ли малваре лако доћи до ових података. Ја нисам програмер злонамерног софтвера, али не видим разлог због којег није могао. Ако скенирам ИЕ ПассВиев програм користећи Вирус Тотал, можете видети да 55% скенера које користе детектују да је то малваре (од којих је један Сецурити Ессентиалс).

    Док је у нашем случају резултат лажно позитиван, то показује да је могуће да један део малваре-а приступи тим подацима неоткривеним чак и када систем покрене анти-вирус. Поред тога, пошто је шифровани податак специфичан за корисника, неће се покренути УАЦ промпт од апликације која покушава да приступи тим подацима. Пре него што смо помислили да је ово грешка у оперативном систему, то је заиста начин на који мора бити другачије. ИЕ и мноштво других Виндовс апликација које користе заштићено складиште покренуло би УАЦ промпт сваки пут када би се отворили..

    Шта ако је мој рачунар украден?

    Једноставан одговор је да су ти подаци сигурни као и лозинка за Виндовс рачун. Као што смо горе показали, када се пријавите на рачун користећи одговарајућу лозинку, сви ови подаци су лако доступни. Ако не користите лозинку, немате никакву заштиту.

    Да бих ово учинио корак даље, извршио сам ресетовање лозинке налога да бих видео шта ће се десити када се лозинка насилно промени изван Виндовса. Након ресетовања, сачувао сам нову Гмаил адресу (блах @) и покренуо ИЕ ПассВиев. Могао сам да видим претходно корисничко име (миемаил @) које је сачувано пре поништавања лозинке, али због тога што су лозинке налога (тј. „Главна лозинка“) које се користе за чување података различите, није успело да дешифрује ИЕ лозинка сачувана под претходном Виндовс шифром налога. Ово је дефинитивно добра ствар.

    Закључак

    На крају дана, безбедност ваших ИЕ сачуваних лозинки зависи потпуно од корисника:

    • Користите веома јаку лозинку за Виндовс налог. Имајте на уму да постоје услужни програми који могу дешифровати Виндовс лозинке. Ако неко добије вашу лозинку за Виндовс налог, онда они имају приступ вашим сачуваним ИЕ лозинкама.
    • Заштитите се од малвера. Ако су услужни програми у могућности да лако приступају сачуваним лозинкама, зашто не могу злонамерни софтвер?
    • Сачувајте своје лозинке у систему за управљање лозинкама као што је КееПасс. Наравно, губите погодност да прегледач аутоматски попуни ваше лозинке.
    • Користите услужни програм треће стране који се интегрише са ИЕ и користи главну лозинку за управљање лозинкама.
    • Шифрујте цео хард диск користећи ТруеЦрипт. Ово је потпуно необавезно и за ултра-заштитне, али ако неко не може да дешифрује ваш погон, они сигурно могу да добију нешто од тога.

    Наравно, и једно и друго не подразумијева, али то само појачава важност подузимања корака како би ваш сустав био сигуран.

    Преузмите ИЕ ПассВиев из НирСофт-а