Laman » bagaimana untuk » Bagaimana Secure Adakah Kata Laluan Penjelajahan Internet Yang Disimpan Anda?

    Bagaimana Secure Adakah Kata Laluan Penjelajahan Internet Yang Disimpan Anda?

    Salah satu tawaran pelayar alat yang paling mudah ialah keupayaan untuk menyimpan dan secara automatik mengisi kata laluan anda pada borang login. Kerana begitu banyak laman web memerlukan akaun dan ia terkenal (atau sekurang-kurangnya sekurang-kurangnya) yang menggunakan kata laluan bersama adalah no-no besar, pengurus kata laluan hampir penting.

    Jadi, jika anda seorang pengguna IE dan jawab "ya" untuk membolehkan penyemak imbas mengingati kata laluan anda, betapa selamatnya maklumat ini?

    Di mana mereka disimpan?

    Bermula di Internet Explorer 7, kata laluan disimpan di dalam sistem pendaftaran (KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) dan dikitar kata laluan masuk pengguna Windows menggunakan API Perlindungan Data yang menggunakan enkripsi Triple DES.

    Betapa selamatnya data ini?

    Pada masa penulisan ini, Triple DES boleh dikatakan tidak dapat dipecahkan melalui kaedah kekerasan. Walau bagaimanapun, benar-benar tidak ada keperluan untuk memaksa penyulitan apabila anda log masuk ke akaun Windows di mana data kata laluan anda disimpan sebagai Windows membuat andaian yang pernah log masuk adalah selamat untuk aplikasi mengakses data ini. Hasil daripada IE tidak menggunakan kata laluan induk (seperti apa yang menawarkan Firefox) untuk melindungi kata laluan yang disimpannya, kata laluan akaun Windows masing-masing adalah kunci penyahsulitan TR Triple.

    Ringkasnya, jika anda boleh log masuk ke Windows dengan akaun dan kata laluan, anda boleh melihat kata laluan pelayar yang disimpan. Menggunakan utiliti bebas yang tersedia seperti IE PassView NirSoft, anda boleh melihat dan mengeksport setiap kata laluan IE yang disimpan.

    Jadi boleh mengakses malware ini?

    Selepas melihat betapa mudahnya untuk mendapatkan data ini, soalan logik seterusnya adalah boleh didapati dengan perisian berniat jahat dengan mudah ke data ini. Saya bukan pemaju malware, tetapi saya tidak melihat sebarang sebab yang tidak dapat. Jika saya mengimbas utiliti IE PassView menggunakan Virus Total, anda dapat melihat 55% daripada pengimbas yang mereka gunakan mengesan ia adalah perisian hasad (salah satunya ialah Security Essentials).

    Walaupun dalam kes kami, hasilnya adalah positif yang salah, ini menunjukkan bahawa terdapat sekeping malware untuk mengakses data ini tanpa diketahui walaupun sistem menjalankan anti-virus. Di samping itu, kerana data yang disulitkan adalah pengguna yang spesifik, tiada permintaan UAC akan dicetuskan oleh aplikasi yang cuba mengakses data ini. Sebelum berfikir ini adalah kecacatan dalam OS, ini benar-benar cara ia harus sebaliknya IE dan pelbagai aplikasi Windows lain yang menggunakan storan yang dilindungi akan mencetuskan prompt UAC setiap kali mereka membuka.

    Bagaimana jika komputer saya dicuri?

    Jawapan mudah ialah data ini adalah selamat seperti kata laluan akaun Windows anda. Seperti yang telah kami tunjukkan di atas, apabila anda log masuk ke akaun menggunakan kata laluan yang bersesuaian, semua data ini mudah diakses. Jika anda tidak menggunakan kata laluan, anda tidak mempunyai perlindungan.

    Untuk mengambil langkah ini lebih jauh, saya menetapkan semula kata laluan akaun untuk melihat apa yang akan berlaku apabila kata laluan itu ditukar secara paksa di luar Windows. Selepas penetapan semula, saya menyimpan kata laluan alamat Gmail baharu (blah @) dan menjalankan IE PassView. Saya dapat melihat nama pengguna sebelumnya (myemail @) yang disimpan sebelum kata laluan telah ditetapkan semula, tetapi kerana kata laluan akaun (iaitu "kata laluan induk") yang digunakan untuk menyimpan data yang berbeza, ia tidak dapat menyahsulit IE kata laluan disimpan di bawah kata laluan akaun Windows sebelumnya. Ini pasti perkara yang baik.

    Kesimpulannya

    Pada penghujung hari, keselamatan kata laluan tersimpan IE anda bergantung sepenuhnya pada pengguna:

    • Gunakan kata laluan akaun Windows yang sangat kuat. Perlu diingat, terdapat utiliti yang boleh menguraikan kata laluan Windows. Jika seseorang mendapat kata laluan akaun Windows anda maka mereka mempunyai akses kepada kata laluan IE anda yang disimpan.
    • Lindungi diri anda dari malware. Sekiranya utiliti dapat mengakses kata laluan yang disimpan dengan mudah, mengapa tidak dapat perisian hasad?
    • Simpan kata laluan anda dalam sistem pengurusan kata laluan seperti KeePass. Sudah tentu, anda kehilangan kemudahan untuk mempunyai penyemak imbas automatik mengisi kata laluan anda.
    • Gunakan utiliti pihak ke-3 yang terintegrasi dengan IE dan menggunakan kata laluan induk untuk menguruskan kata laluan anda.
    • Sulitkan seluruh cakera keras anda menggunakan TrueCrypt. Ini benar-benar pilihan dan untuk pelindung ultra, tetapi jika seseorang tidak dapat menyahsulit memandu anda, mereka pasti boleh mendapatkan apa-apa daripada itu.

    Sudah tentu kedua-dua ini tidak boleh dikatakan, tetapi ini hanya memperkuatkan kepentingan mengambil langkah-langkah untuk memastikan keselamatan sistem anda.

    Muat turun IE PassView dari NirSoft