Така че, ако сте потребител на IE и отговорите с "да", за да позволите на браузъра да си спомни паролата ви, колко сигурна е тази информация?
Къде са спасени?
Започвайки от Internet Explorer 7, паролата се съхранява в системния регистър (KEY_CURRENT_USER Software Microsoft Internet Explorer IntelliForms Storage2) и се шифрира срещу паролата за вход на потребителя на Windows, използвайки API за защита на данните, използващ Triple DES шифроване.
Колко сигурна е тази информация?
По време на това писане, Triple DES е практически нечуплив чрез методи на груба сила. Обаче в действителност не е необходимо да се насилва криптирането, след като сте влезли в акаунта в Windows, където данните за паролата ви са съхранени, тъй като Windows прави предположението, че след като е влязло в него, е безопасно приложенията да имат достъп до тези данни. В резултат на това, че IE не използва главна парола (като това, което предлага Firefox), за да защити запазените пароли, съответната парола за акаунт в Windows е ключът за декриптиране Triple DES.
Просто казано, ако можете да влезете в Windows с акаунта и паролата, можете да видите запазените пароли на браузъра. С помощта на безплатна програма като IE PassView на NirSoft можете да преглеждате и експортирате всяка запазена парола за IE.
Така че може да има достъп до злонамерен софтуер?
След като видя колко лесно е да стигнем до тези данни, следващият логичен въпрос е, че зловреден софтуер лесно може да стигне до тези данни. Аз не съм програмист за злонамерен софтуер, но не виждам причина, поради която не може. Ако сканирам помощната програма IE PassView, използвайки Virus Total, можете да видите, че 55% от скенерите, които използват, откриват, че е злонамерен софтуер (един от които е Security Essentials).
Какво ще стане, ако компютърът ми бъде откраднат?
Простият отговор е, че тези данни са толкова сигурни, колкото и паролата за профила ви в Windows. Както показахме по-горе, когато влезете в профила, използвайки подходящата парола, всички тези данни са лесно достъпни. Ако не използвате парола, нямате защита.
За да направя това още една крачка, направих нулиране на паролата за профила, за да видя какво ще се случи, когато паролата бъде променена силно извън Windows. След нулирането си запазих нова парола за адрес в Gmail (blah @) и пуснах IE PassView. Бях в състояние да видя предишното потребителско име (myemail @), което бе запазено преди да бъде възстановена паролата, но тъй като паролите на акаунта (т.е. "главната парола"), използвани за запазване на данните са различни, не е успяла да декриптира IE паролата е запазена под предишната парола за профила на Windows. Това определено е хубаво нещо.
заключение
В края на деня сигурността на вашите IE спасени пароли зависи изцяло от потребителя:
-
Използвайте много силна парола за профила в Windows. Имайте предвид, че има помощни програми, които могат да дешифрират паролите за Windows. Ако някой получи паролата за профила ви в Windows, той има достъп до запазените ви IE пароли.
- Предпазвайте се от злонамерен софтуер. Ако помощните програми са в състояние лесно да получат достъп до запазените ви пароли, защо не може да има злонамерен софтуер?
-
Запазете паролите си в система за управление на пароли като KeePass. Разбира се, вие губите удобството на браузъра да попълва автоматично паролите ви.
- Използвайте помощна програма от трета страна, която се интегрира с IE и използва главна парола за управление на паролите ви.
- Шифровайте целия твърд диск с помощта на TrueCrypt. Това е напълно по желание и за ултра защитник, но ако някой не може да дешифрира вашето устройство, със сигурност може да получи нещо от него.
Разбира се, и двете са безусловно, но това просто подсилва значението на предприемането на стъпки за запазване на сигурността на вашата система.
Изтеглете IE PassView от NirSoft
