Wie sicher sind Ihre gespeicherten Internet Explorer-Kennwörter?
Eines der bequemsten Tools, die Browser anbieten, ist die Möglichkeit, Kennwörter in Anmeldeformularen zu speichern und automatisch vorzufüllen. Da so viele Sites Konten benötigen und bekannt ist (oder zumindest sein sollte), dass die Verwendung eines gemeinsam genutzten Passworts ein großes Nein ist, ist ein Passwortmanager fast unverzichtbar.
Wenn Sie also ein IE-Benutzer sind und mit „Ja“ antworten, damit sich der Browser Ihr Kennwort merken kann, wie sicher sind diese Informationen?
Wo sind sie gerettet??
Ab Internet Explorer 7 werden Kennwörter in der Systemregistrierung (KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) gespeichert und mithilfe der Data Protection API, die die Triple-DES-Verschlüsselung verwendet, gegen das Anmeldekennwort des Windows-Benutzers verschlüsselt.
Wie sicher sind diese Daten??
Zum jetzigen Zeitpunkt ist Triple DES durch Brute-Force-Methoden praktisch unzerstörbar. Es ist jedoch nicht unbedingt erforderlich, die Verschlüsselung brutal zu erzwingen, sobald Sie bei dem Windows-Konto angemeldet sind, auf dem Ihre Kennwortdaten gespeichert sind. Windows geht davon aus, dass nach dem Anmelden für Anwendungen der Zugriff auf diese Daten sicher ist. Da der IE zum Schutz der gespeicherten Kennwörter kein Master-Kennwort verwendet (z. B. das, was Firefox anbietet), ist das entsprechende Kennwort des Windows-Kontos der Triple DES-Entschlüsselungsschlüssel.
Einfach ausgedrückt: Wenn Sie sich mit Konto und Kennwort bei Windows anmelden können, können Sie die gespeicherten Kennworte des Browsers anzeigen. Mit einem frei verfügbaren Dienstprogramm wie IE PassView von NirSoft können Sie jedes gespeicherte IE-Kennwort anzeigen und exportieren.
So kann Malware darauf zugreifen?
Nachdem wir gesehen haben, wie einfach es ist, an diese Daten zu gelangen, ist die nächste logische Frage, ob Malware diese Daten leicht erreichen kann. Ich bin kein Malware-Entwickler, aber ich sehe keinen Grund dafür, dass es nicht möglich ist. Wenn ich das IE PassView-Programm mit Virus Total scanne, können Sie sehen, dass 55% der Scanner, die sie verwenden, Malware erkennen (einer davon ist Security Essentials)..
Während in unserem Fall das Ergebnis ein falsch positives Ergebnis ist, zeigt dies, dass es möglich ist, dass Malware auf diese Daten zugreifen kann, selbst wenn das System Virenschutz ausführt. Da die verschlüsselten Daten benutzerspezifisch sind, wird keine Aufforderung zur Benutzerkontensteuerung von einer Anwendung ausgelöst, die versucht, auf diese Daten zuzugreifen. Bevor Sie denken, dass dies ein Fehler im Betriebssystem ist, muss dies wirklich der Fall sein. Andernfalls müssen IE und eine Vielzahl anderer Windows-Anwendungen, die den geschützten Speicher verwenden, bei jedem Öffnen eine UAC-Eingabeaufforderung auslösen.
Was ist, wenn mein Computer gestohlen wird??
Die einfache Antwort ist, dass diese Daten so sicher sind wie das Kennwort Ihres Windows-Kontos. Wie wir oben gezeigt haben, sind alle diese Daten leicht zugänglich, wenn Sie sich mit dem entsprechenden Kennwort bei Ihrem Konto anmelden. Wenn Sie kein Passwort verwenden, haben Sie keinen Schutz.
Um dies noch einen Schritt weiter zu machen, habe ich das Kontopasswort zurückgesetzt, um zu sehen, was passiert, wenn das Kennwort außerhalb von Windows zwangsweise geändert wurde. Nach dem Zurücksetzen habe ich ein neues Google Mail-Adresskennwort (blah @) gespeichert und IE PassView ausgeführt. Ich konnte den vorherigen Benutzernamen (myemail @) sehen, der gespeichert wurde, bevor das Kennwort zurückgesetzt wurde. Da jedoch die Kontokennwörter (z. B. "Hauptkennwort") zum Speichern der Daten unterschiedlich sind, konnte der IE nicht entschlüsselt werden Kennwort, das unter dem vorherigen Windows-Kennwort gespeichert wurde. Das ist definitiv eine gute Sache.
Fazit
Am Ende des Tages hängt die Sicherheit Ihrer im IE gespeicherten Kennwörter vollständig vom Benutzer ab:
- Verwenden Sie ein sehr starkes Windows-Kontokennwort. Beachten Sie, dass es Dienstprogramme gibt, die Windows-Kennwörter entschlüsseln können. Wenn jemand Ihr Windows-Kontokennwort erhält, hat er Zugriff auf Ihre gespeicherten IE-Kennwörter.
- Schützen Sie sich vor Malware. Wenn Dienstprogramme einfach auf Ihre gespeicherten Kennwörter zugreifen können, warum kann Malware dies nicht tun??
- Speichern Sie Ihre Kennwörter in einem Kennwortverwaltungssystem wie KeePass. Natürlich verlieren Sie den Komfort, dass der Browser Ihre Passwörter automatisch ausfüllt.
- Verwenden Sie ein Dienstprogramm eines Drittanbieters, das in den IE integriert ist und ein Hauptkennwort zum Verwalten Ihrer Kennwörter verwendet.
- Verschlüsseln Sie Ihre gesamte Festplatte mit TrueCrypt. Dies ist vollkommen optional und für den Ultra-Schutz, aber wenn jemand Ihre Festplatte nicht entschlüsseln kann, kann er sicherlich etwas davon bekommen.
Natürlich ist beides selbstverständlich, aber dies unterstreicht nur die Wichtigkeit, Schritte zu unternehmen, um Ihr System sicher zu halten.
Laden Sie IE PassView von NirSoft herunter