Làm thế nào an toàn Mật khẩu Internet Explorer đã lưu của bạn?
Một trong những công cụ tiện lợi nhất mà trình duyệt cung cấp là khả năng lưu và tự động điền trước mật khẩu của bạn trên các biểu mẫu đăng nhập. Bởi vì rất nhiều trang web yêu cầu tài khoản và được biết đến (hoặc ít nhất là) nên việc sử dụng mật khẩu dùng chung là một điều không nên, một trình quản lý mật khẩu gần như là điều cần thiết.
Vì vậy, nếu bạn là người dùng IE và trả lời, có, hãy cho phép trình duyệt nhớ mật khẩu của bạn, thông tin này an toàn đến mức nào?
Họ được cứu ở đâu?
Bắt đầu từ Internet Explorer 7, mật khẩu được lưu trữ trong sổ đăng ký hệ thống (KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) và được mã hóa theo mật khẩu đăng nhập của người dùng Windows bằng API bảo vệ dữ liệu sử dụng mã hóa Triple DES.
Dữ liệu này an toàn đến mức nào?
Tại thời điểm viết bài này, Triple DES thực tế không thể phá vỡ thông qua các phương pháp vũ phu. Tuy nhiên, thực sự không cần thiết phải mã hóa mã hóa khi bạn đã đăng nhập vào tài khoản Windows, nơi dữ liệu mật khẩu của bạn được lưu trữ vì Windows đưa ra giả định rằng một khi đã đăng nhập sẽ an toàn cho các ứng dụng truy cập dữ liệu này. Do IE không sử dụng mật khẩu chính (như những gì Firefox cung cấp) để bảo vệ mật khẩu đã lưu của nó, mật khẩu tài khoản Windows tương ứng là khóa giải mã Triple DES.
Nói một cách đơn giản, nếu bạn có thể đăng nhập vào Windows bằng tài khoản và mật khẩu, bạn có thể thấy mật khẩu trình duyệt đã lưu. Sử dụng một tiện ích có sẵn miễn phí như IE PassView của NirSoft, bạn có thể xem và xuất mọi mật khẩu IE đã lưu.
Vì vậy, phần mềm độc hại có thể truy cập này?
Sau khi thấy dữ liệu này dễ dàng như thế nào, câu hỏi logic tiếp theo là phần mềm độc hại có thể dễ dàng truy cập dữ liệu này không. Tôi không phải là nhà phát triển phần mềm độc hại, nhưng tôi không thấy bất kỳ lý do nào mà nó không thể. Nếu tôi quét tiện ích IE PassView bằng Virus Total, bạn có thể thấy 55% máy quét họ sử dụng phát hiện đó là phần mềm độc hại (một trong số đó là Bảo mật thiết yếu).
Mặc dù trong trường hợp của chúng tôi, kết quả là dương tính giả, điều này cho thấy rằng một phần mềm độc hại có thể truy cập dữ liệu này mà không bị phát hiện ngay cả khi hệ thống chạy chương trình chống vi-rút. Ngoài ra, vì dữ liệu được mã hóa là dành riêng cho người dùng, không có dấu nhắc UAC nào sẽ được kích hoạt bởi một ứng dụng đang cố truy cập dữ liệu này. Trước khi nghĩ rằng đây là một lỗ hổng trong HĐH, đây thực sự là cách mà nó phải là IE và một loạt các ứng dụng Windows khác sử dụng bộ lưu trữ được bảo vệ sẽ kích hoạt lời nhắc UAC mỗi khi chúng mở.
Nếu máy tính của tôi bị đánh cắp thì sao??
Câu trả lời đơn giản là dữ liệu này an toàn như mật khẩu tài khoản Windows của bạn. Như chúng tôi đã trình bày ở trên, khi bạn đăng nhập vào tài khoản bằng mật khẩu phù hợp, tất cả dữ liệu này có thể dễ dàng truy cập. Nếu bạn sử dụng không có mật khẩu, bạn không có sự bảo vệ.
Để tiến thêm một bước này, tôi đã thiết lập lại mật khẩu tài khoản để xem điều gì sẽ xảy ra khi mật khẩu bị thay đổi mạnh mẽ bên ngoài Windows. Sau khi thiết lập lại, tôi đã lưu mật khẩu địa chỉ Gmail mới (blah @) và chạy IE PassView. Tôi đã có thể thấy tên người dùng trước đó (myemail @) đã được lưu trước khi đặt lại mật khẩu, nhưng vì mật khẩu tài khoản (tức là mật khẩu chính chủ mật khẩu) được sử dụng để lưu dữ liệu khác nhau, nên không thể giải mã được IE mật khẩu được lưu dưới mật khẩu tài khoản Windows trước đó. Đây chắc chắn là một điều tốt.
Phần kết luận
Vào cuối ngày, tính bảo mật của mật khẩu đã lưu trong IE của bạn phụ thuộc hoàn toàn vào người dùng:
- Sử dụng mật khẩu tài khoản Windows rất mạnh. Hãy nhớ rằng, có những tiện ích có thể giải mã mật khẩu Windows. Nếu ai đó lấy được mật khẩu tài khoản Windows của bạn thì họ có quyền truy cập vào mật khẩu IE đã lưu của bạn.
- Bảo vệ bạn khỏi phần mềm độc hại. Nếu các tiện ích có thể dễ dàng truy cập mật khẩu đã lưu của bạn, tại sao phần mềm độc hại không thể?
- Lưu mật khẩu của bạn trong một hệ thống quản lý mật khẩu, chẳng hạn như KeePass. Tất nhiên, bạn mất đi sự tiện lợi khi trình duyệt tự động điền mật khẩu của bạn.
- Sử dụng tiện ích bên thứ 3 tích hợp với IE và sử dụng mật khẩu chính để quản lý mật khẩu của bạn.
- Mã hóa toàn bộ ổ cứng của bạn bằng TrueCrypt. Điều này là hoàn toàn tùy chọn và cực kỳ bảo vệ, nhưng nếu ai đó không thể giải mã ổ đĩa của bạn, họ chắc chắn có thể lấy bất cứ thứ gì từ nó.
Tất nhiên cả hai điều này không cần phải nói, nhưng điều này chỉ củng cố tầm quan trọng của việc thực hiện các bước để giữ an toàn cho hệ thống của bạn.
Tải xuống IE PassView từ NirSoft