Jedna od najprikladnijih alata za preglednike alata je mogućnost spremanja i automatsko prefabiranje zaporki na obrascima za prijavu. Budući da toliko web mjesta zahtijevaju račune i dobro je poznato (ili bi trebalo biti barem) da je korištenje zajedničke lozinke velika ne-ne, upravitelj zaporki gotovo je neophodan.
Dakle, ako ste korisnik IE i odgovorite "da" kako biste omogućili pregledniku da zapamti vašu zaporku, koliko je taj podatak siguran?
Počevši od Internet Explorera 7, lozinka se pohranjuje u registru sustava (KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) i šifrira se na lozinku za prijavu korisnika sustava Windows pomoću API-ja za zaštitu podataka koji koristi šifriranje Triple DES.
U trenutku pisanja, Triple DES je praktički neraskidljiv metodom brute force metode. Međutim, doista nije potrebno brutalno prisiliti šifriranje nakon što se prijavite na račun za Windows gdje se podaci lozinke pohranjuju jer Windows pretpostavlja da je prilikom prijave sigurnost aplikacijama dostupna ovim podacima. Kao rezultat IE-a koji ne koristi glavnu lozinku (kao što je ono što Firefox nudi) kako bi zaštitili svoje spremljene lozinke, odgovarajuća lozinka za Windows račun je trostruki DES dešifriranje ključ.
Jednostavno rečeno, ako se s računom i lozinkom možete prijaviti u sustav Windows, možete vidjeti spremljene zaporke preglednika. Korištenje slobodnog softvera kao što je IE PassView NirSoft-a, možete pregledavati i izvoziti svaku spremljenu IE lozinku.
Nakon što vidimo kako je lako doći do tih podataka, sljedeće je logičko pitanje da malware može lako doći do tih podataka. Nisam programer za zlonamjerni softver, ali ne vidim razloga zašto to ne može. Ako skeniram uslužni program IE PassView pomoću programa Virus Total, možete vidjeti da 55% skenera koje upotrebljavaju otkrivaju da je zlonamjerni softver (jedan od njih je Security Essentials).
Dok je u našem slučaju rezultat lažno pozitivan, to pokazuje da je moguće da neki zlonamjerni program pristupi tim podacima neopaženima čak i kada sustav pokrene antivirusni program. Osim toga, zbog toga što je šifrirani podatak specifičan za korisnika, niti jedan UAC prompt neće pokrenuti aplikacija koja pokušava pristupiti tim podacima. Prije nego što mislimo da je to pogreška u operativnom sustavu, to je stvarno način na koji mora biti drugačije IE i niz drugih Windows aplikacija koje koriste zaštićenu pohranu potaknulo bi UAC prompt svaki put kad bi se otvorile.
Jednostavan odgovor je da su ti podaci sigurni kao i lozinka za Windows račun. Kao što smo već prikazali, kada se prijavite na račun pomoću odgovarajuće lozinke, svi ti podaci su lako dostupni. Ako ne koristite lozinku, nemate zaštitu.
Da biste ovo poduzeli korak dalje, poništila sam zaporku računa kako bih vidjela što će se dogoditi kada se lozinka snažno promijeni izvan sustava Windows. Nakon resetiranja spremila sam novu zaporku za Gmail adresu (blah @) i pokrenula IE PassView. Bila sam u mogućnosti vidjeti prethodno korisničko ime (myemail @) koja je spremljena prije nego što je lozinka ponovno postavljena, ali zato što su lozinke računa (tj. "Glavna lozinka") korištene za spremanje podataka različite, nije uspjela dekriptirati IE lozinka spremljena pod prethodnom zaporkom za Windows račun. Ovo je svakako dobra stvar.
Na kraju dana, sigurnost IE spremljenih lozinki ovisi potpuno o korisniku:
Naravno, oba ova pitanja ići bez rekavši, ali to samo pojačava važnost poduzimanja koraka kako bi vaš sustav bio siguran.
Preuzmite IE PassView od NirSoft
