Одним из наиболее удобных инструментов, предлагаемых браузерами, является возможность сохранять и автоматически вводить пароли в формах входа. Поскольку очень многим сайтам требуются учетные записи, и хорошо известно (или должно быть по крайней мере), что использование общего пароля – это большое «нет-нет», менеджер паролей практически необходим.
Так что, если вы являетесь пользователем IE и отвечаете «да», чтобы браузер запомнил ваш пароль, насколько безопасна эта информация?
Где они спасены?
Начиная с Internet Explorer 7, пароль хранится в системном реестре (KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) и зашифровывается против пароля для входа в систему пользователя Windows с помощью API защиты данных, который использует шифрование Triple DES.
Насколько безопасны эти данные?
На момент написания этой статьи Triple DES практически не ломался с помощью методов грубой силы. Тем не менее, на самом деле нет необходимости в грубом форсировании шифрования после входа в учетную запись Windows, где хранятся данные вашего пароля, поскольку Windows предполагает, что после входа в систему это безопасно для приложений, чтобы получить доступ к этим данным. В результате того, что IE не использует мастер-пароль (например, что предлагает Firefox) для защиты своих сохраненных паролей, соответствующий пароль учетной записи Windows является ключом расшифровки Triple DES.
Проще говоря, если вы можете войти в Windows с учетной записью и паролем, вы можете увидеть сохраненные пароли браузера. Используя свободно доступную утилиту, такую как IE PassView от NirSoft, вы можете просматривать и экспортировать каждый сохраненный пароль IE.
Так может ли вредоносная программа получить доступ к этому?
Увидев, как легко получить эти данные, возникает следующий логический вопрос: может ли вредоносная программа легко получить эти данные? Я не разработчик вредоносных программ, но я не вижу причин, по которым это невозможно. Если я сканирую утилиту IE PassView с использованием Virus Total, вы увидите, что 55% сканеров, которые они используют, обнаруживают, что это вредоносное ПО (одним из которых является Security Essentials).
Хотя в нашем случае результат является ложноположительным, это показывает, что часть вредоносного ПО может получить доступ к этим данным незамеченным, даже когда система запускает антивирус. Кроме того, поскольку зашифрованные данные зависят от пользователя, приложение UAC не будет запрашивать запрос UAC, пытающийся получить доступ к этим данным. Прежде чем думать, что это недостаток ОС, это действительно так, как должно быть, иначе IE и множество других приложений Windows, которые используют защищенное хранилище, будут вызывать приглашение UAC каждый раз, когда они открываются.
Что делать, если мой компьютер украден?
Ответ прост: эти данные так же безопасны, как и пароль вашей учетной записи Windows. Как мы показали выше, при входе в учетную запись с использованием соответствующего пароля все эти данные легко доступны. Если вы не используете пароль, у вас нет защиты.
Чтобы продвинуться дальше, я сделал сброс пароля учетной записи, чтобы посмотреть, что произойдет, если пароль будет принудительно изменен за пределами Windows. После сброса я сохранил новый пароль адреса Gmail (бла @) и запустил IE PassView. Мне удалось увидеть предыдущее имя пользователя (myemail @), которое было сохранено до сброса пароля, но поскольку пароли учетных записей (т. Е. «Мастер-пароль»), используемые для сохранения данных, отличаются, он не смог расшифровать IE пароль сохранен под предыдущим паролем учетной записи Windows. Это определенно хорошая вещь.
Заключение
В конце концов, безопасность ваших сохраненных паролей IE полностью зависит от пользователя:
- Используйте очень надежный пароль учетной записи Windows. Имейте в виду, что есть утилиты, которые могут расшифровать пароли Windows. Если кто-то получит пароль вашей учетной записи Windows, он получит доступ к вашим сохраненным паролям IE.
- Защитите себя от вредоносных программ. Если утилиты могут легко получить доступ к вашим сохраненным паролям, почему не могут быть вредоносные программы?
- Сохраните ваши пароли в системе управления паролями, такой как KeePass. Конечно, вы теряете удобство, когда браузер автоматически заполняет ваши пароли.
- Используйте стороннюю утилиту, которая интегрируется с IE и использует главный пароль для управления вашими паролями.
- Зашифруйте весь жесткий диск с помощью TrueCrypt. Это совершенно необязательно и для сверхзащиты, но если кто-то не сможет расшифровать ваш диск, он наверняка сможет извлечь из него что угодно.
Конечно, и то и другое само собой разумеется, но это только усиливает важность принятия мер по обеспечению безопасности вашей системы.
Загрузите IE PassView от NirSoft
