Què tan segures són les vostres contrasenyes d'Internet Explorer desades?

Com de segures són les vostres contrasenyes desades d'Internet Explorer foto 1

Una de les eines més convenients que ofereixen els navegadors és la possibilitat de desar i emplenar automàticament les vostres contrasenyes als formularis d'inici de sessió. Com que molts llocs requereixen comptes i és ben sabut (o almenys hauria de ser-ho) que utilitzar una contrasenya compartida és un gran no-no, un gestor de contrasenyes és gairebé essencial.

Per tant, si sou un usuari d'IE i responeu que sí per permetre que el navegador recordi la vostra contrasenya, com de segura és aquesta informació?



On es guarden?

A partir d'Internet Explorer 7, la contrasenya s'emmagatzema al registre del sistema (KEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerIntelliFormsStorage2) i es xifra amb la contrasenya d'inici de sessió de l'usuari de Windows mitjançant l'API de protecció de dades que utilitza el xifratge Triple DES.

Què tan segures són aquestes dades?

En el moment d'escriure aquest article, Triple DES és pràcticament irrompible mitjançant mètodes de força bruta. Tanmateix, realment no cal forçar el xifratge una vegada que hàgiu iniciat la sessió al compte de Windows on s'emmagatzemen les dades de la vostra contrasenya, ja que Windows suposa que, un cop iniciat la sessió, és segur que les aplicacions puguin accedir a aquestes dades. Com que IE no utilitza una contrasenya mestra (com ara el que ofereix Firefox) per protegir les seves contrasenyes desades, la contrasenya corresponent del compte de Windows és la clau de desxifrat Triple DES.

En poques paraules, si podeu iniciar sessió a Windows amb el compte i la contrasenya, podreu veure les contrasenyes desades del navegador. Mitjançant una utilitat disponible gratuïtament, com ara IE PassView de NirSoft, podeu veure i exportar totes les contrasenyes d'IE desades.

Com de segures són les vostres contrasenyes desades d'Internet Explorer foto 2

Llavors, el programari maliciós pot accedir a això?

Després de veure com de fàcil és arribar a aquestes dades, la següent pregunta lògica és si el programari maliciós pot arribar fàcilment a aquestes dades. No sóc un desenvolupador de programari maliciós, però no veig cap raó perquè no pugui. Si escanejo la utilitat IE PassView amb Virus Total, podeu veure que el 55% dels escàners que utilitzen detecten que és programari maliciós (un dels quals és Security Essentials).

Com de segures són les vostres contrasenyes desades d'Internet Explorer foto 3

Tot i que en el nostre cas el resultat és un fals positiu, això demostra que és possible que un programari maliciós accedeixi a aquestes dades sense detectar-se fins i tot quan el sistema executa un antivirus. A més, com que les dades xifrades són específiques de l'usuari, cap sol·licitud d'UAC no s'activarà per una aplicació que intenti accedir a aquestes dades. Abans de pensar que es tracta d'un defecte del sistema operatiu, aquesta és realment la manera com ha de ser d'altra manera, IE i una sèrie d'altres aplicacions de Windows que utilitzen l'emmagatzematge protegit desencadenarien un missatge UAC cada vegada que s'obrien.

Què passa si em roben l'ordinador?

La resposta senzilla és que aquestes dades són tan segures com la contrasenya del vostre compte de Windows. Com hem mostrat anteriorment, quan inicieu sessió al compte amb la contrasenya adequada, totes aquestes dades són fàcilment accessibles. Si no feu servir cap contrasenya, no teniu cap protecció.

Per fer-ho un pas més, vaig fer un restabliment de la contrasenya del compte per veure què passaria quan la contrasenya es canviés força fora de Windows. Després del restabliment, vaig desar una nova contrasenya d'adreça de Gmail (blah@) i vaig executar IE PassView. Vaig poder veure el nom d'usuari anterior (el meu correu electrònic@) que es va desar abans de restablir la contrasenya, però com que les contrasenyes del compte (és a dir, la contrasenya mestra) utilitzades per desar les dades són diferents, no va poder desxifrar la contrasenya d'IE desada. sota la contrasenya anterior del compte de Windows. Això és definitivament una bona cosa.

Com de segures són les vostres contrasenyes desades d'Internet Explorer foto 4

Conclusió

Al final del dia, la seguretat de les vostres contrasenyes desades d'IE depèn totalment de l'usuari:

  • Utilitzeu una contrasenya de compte de Windows molt forta. Tingueu en compte que hi ha utilitats que poden desxifrar contrasenyes de Windows. Si algú obté la contrasenya del vostre compte de Windows, tindrà accés a les vostres contrasenyes d'IE desades.
  • Protegiu-vos del programari maliciós. Si els serveis públics poden accedir fàcilment a les vostres contrasenyes desades, per què no ho pot fer el programari maliciós?
  • Deseu les vostres contrasenyes en un sistema de gestió de contrasenyes com ara KeePass. Per descomptat, perds la comoditat de fer que el navegador ompli automàticament les teves contrasenyes.
  • Utilitzeu una utilitat de tercers que s'integra amb IE i utilitza una contrasenya mestra per gestionar les vostres contrasenyes.
  • Xifreu tot el vostre disc dur amb TrueCrypt. Això és completament opcional i per a la protecció ultra, però si algú no pot desxifrar la vostra unitat, segurament en pot treure qualsevol cosa.

Per descomptat, tots dos no cal dir-ho, però això només reforça la importància de prendre mesures per mantenir el vostre sistema segur.

Baixeu IE PassView de NirSoft

Més històries

Què és un hipervisor de màquina virtual?

Els hipervisors són els que fan possibles les màquines virtuals i ja no només són per a servidors. Probablement n'utilitzeu un cada dia i ni tan sols ho saps. Si no n'utilitzeu cap ara, ho fareu en un futur proper.

Com personalitzar el vostre XBMC per a la fama, la glòria i la navegació dels mitjans més bonics

XBMC és una fantàstica aplicació de centre multimèdia de codi obert que es pot personalitzar, gràcies a una interfície fàcil d'aplicar, per oferir-vos el centre multimèdia amb millor aspecte del bloc (i possiblement del comtat). Segueix llegint per veure com.

Afegiu una mica de dramatisme al vostre escriptori amb el tema Mafia 2 per a Windows 7

Porta el teu escriptori enrere en el temps a la ciutat d'Empire Bay dels anys 40 i 50, on Vito Scaletta comença la seva recerca per convertir-se en un home fet. Aquest tema granulós inclou un gran conjunt de fons de pantalla i sons del joc a...

SemiSilent és una llista blanca de timbres per a telèfons Android

Vols desactivar el timbre, excepte per a les trucades d'uns quants selectes? SemiSilent silencia selectivament el timbre d'Android perquè les trucades crítiques arribin i la resta es mantingui en silenci.

Quadrotor Blooper Reel ens calma a la falsa seguretat [vídeo]

Al maig vam compartir un vídeo dels Quadrotors del laboratori GRASP de la Universitat de Pennsilvània. El vídeo mostrava als Quadrotors executant moviments amb una formació perfecta i a velocitat de coll. Resulta que quan ells...

Actualització de la memòria cau

Els navegadors web tenen una memòria cau web, un emmagatzematge temporal local dels elements de la pàgina web descarregats (com ara el codi de la pàgina i els components multimèdia) destinats a accelerar la vostra experiència de navegació. Si visiteu regularment un lloc web de notícies, per exemple, elements com la capçalera del lloc i les icones de navegació bàsiques poden

Memòria cau web

La memòria cau web, o memòria cau del navegador, és un mecanisme per a l'emmagatzematge temporal de documents web destinats a reduir l'ús d'ample de banda, la càrrega del servidor i la percepció de l'usuari de la latència del navegador.

Caffenol: desenvolupador de pel·lícules a base de cafè de bricolatge [vídeo]

Al vídeo anterior, Matt Richardson de la revista Make ens mostra com fer el nostre propi desenvolupador fotogràfic casolà amb materials domèstics senzills (com ara cafè, refresc de rentat i vitamina C) combinats amb subministraments de desenvolupament barats...

Diversió d'escriptori: conjunt de personalització de Spider-Man

L'home aranya mai no s'aconsegueix, tant si es tracta de lluitar contra els dolents com de fer front a la campanya publicitària negativa de J. Jonah Jameson contra ell. Per sort no es rendeix mai! Ara pots tenir el teu amic favorit del web-slinger del barri al costat del teu escriptori amb el nostre Spider-Man

Com configurar còpies de seguretat Rsync a Linux de manera fàcil

Actualment, la majoria de la gent utilitza algun tipus de còpia de seguretat en línia com Dropbox, però què passa si només voleu la mateixa funció, però en canvi feu una còpia de seguretat en un disc dur extern? A continuació s'explica com fer-ho de manera fàcil.