Ένα από τα ποιο χρήσιμα εργαλεία των browsers, είναι η ικανότητα αποθήκευσης και η αυτόματη συμπλήρωση των passwords στις φόρμες σύνδεσης σε διάφορες ιστοσελίδες. Λόγω του ότι πάρα πολλά sites απαιτούν δημιουργία λογαριασμού και φυσικά όλοι ξέρουμε (ή θα έπρεπε να ξέρουμε) πως δεν πρέπει σε καμία περίπτωση να χρησιμοποιούμε το ίδιο password, μια εφαρμογή διαχείρισης των κωδικών μας είναι απαραίτητη.
Αν λοιπόν είστε χρήστης του Internet Explorer και απαντάτε «ναι» για να επιτρέψετε στον browser να θυμάται τα passwords, γνωρίζετε πόσο ασφαλής είναι αυτές οι πληροφορίες;
Που αποθηκεύονται τα Passwords;Ξεκινώντας από τον Internet Explorer 7, τα passwords αποθηκεύονται στη registry του συστήματος σας (KEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2) και κρυπτογραφούνται βάση του κωδικού πρόσβασης του χρήστη χρησιμοποιώντας το Data Protection API το οποίο εκμεταλλεύεται την Triple DES κρυπτογράφηση.
Πόσο ασφαλή είναι τα δεδομένα σας;Μέχρι και τη στιγμή όπου γράφεται αυτό το άρθρο, η Triple DES είναι πρακτικά απαραβίαστη μέσω των μεθόδων brute force. Παρόλα αυτά, στην πραγματικότητα δεν χρειάζεται να γίνει brute force της κρυπτογράφησης από τη στιγμή που είστε συνδεδεμένοι με το λογαριασμό σας στα Windows στον οποίο αποθηκεύονται τα passwords του internet explorer, καθώς τα Windows υποθέτουν πως από τη στιγμή που ο χρήστης έχει συνδεθεί όλα τα passwords είναι ασφαλή ώστε οι εφαρμογές να έχουν πρόσβαση σε αυτά. Σαν αποτέλεσμα του ότι ο internet explorer δεν χρησιμοποιεί ένα κύριο κωδικό (κάτι που κάνει ο Firefox) για να προστατέψει τα αποθηκευμένα passwords του, αναγκαστικά χρησιμοποιεί τον κωδικό του λογαριασμού των Windows σαν κλειδί αποκρυπτογράφησης του Triple DES.
Από τη στιγμή που μπορείτε να συνδεθείτε στο λογαριασμό σας στα Windows, μπορείτε να δείτε όλα τα αποθηκευμένα passwords του browser σας. Εάν χρησιμοποιήσετε μια δωρεάν εφαρμογή όπως είναι η Nirsoft IE PassView, μπορείτε να δείτε και να εξάγετε όλα τα αποθηκευμένα passwords του Internet Explorer.
Μπορούν τα malware να έχουν πρόσβαση στα passwords;Αφού είδατε παραπάνω πόσο εύκολο είναι να πάρετε όλους τους κωδικούς από τον internet explorer, η επόμενη λογική ερώτηση είναι κατά πόσον είναι εύκολο για ένα malware να 'κλέψει' τα passwords σας. Aν και δεν ξέρω τον τρόπο με τον οποίο φτιάχνονται τα malware δεν νομίζω πως υπάρχει κάποιος σοβαρός λόγος ώστε να μην μπορούν να πάρουν τους κωδικούς. Εάν ελέγξετε την εφαρμογή IE PassView με το Virus Total, θα δείτε πως το 55% των antivirus το ανιχνεύει ως malware (ένα εκ των οποίων το Security Essentials).
Έτσι καταλαβαίνουμε πως είναι πολύ πιθανό ένα malware να αποκτήσει πρόσβαση στα passwords μας χωρίς να εντοπιστεί από τον υπολογιστή μας ακόμα και αν έχουμε antivirus. Επιπλέον, λόγω του ότι τα κρυπτογραφημένα δεδομένα είναι συγκεκριμένα για κάθε χρήστη δεν υπάρχει ο έλεγχος λογαριασμού χρήστη (UAC) για κάθε εφαρμογή που προσπαθεί να αποκτήσει πρόσβαση σε αυτά τα δεδομένα. Πριν βγάλουμε το συμπέρασμα πως αυτό είναι σφάλμα των Windows, να επισημάνουμε πως αυτή είναι η σωστή διαδικασία που πρέπει να ακολουθείται αλλιώς ο internet explorer αλλά και πολλές άλλες εφαρμογές οι οποίες χρησιμοποιούν τα αποθηκευμένα μας passwords θα ελέγχονταν από το UAC κάθε φορά που θα τις ξεκινούσαμε.
Τι γίνεται εάν κλαπεί ο υπολογιστής μου;Η απλή απάντηση είναι πως τα δεδομένα σας είναι τόσο ασφαλή όσο είναι και το password των Windows. Όπως είδατε και παραπάνω η πρόσβαση σε αυτά τα δεδομένα είναι πολύ εύκολη εφόσον μπορείτε να έχετε πρόσβαση στο λογαριασμό σας στα Windows. Εάν δεν χρησιμοποιείτε password, τότε δεν είστε ασφαλής.
ΣυμπέρασμαΌπως καταλάβατε, η ασφάλεια των αποθηκευμένων passwords στον internet explorer εξαρτάται καθαρά από τον χρήστη:
- Χρησιμοποιήστε ένα δυνατό password για το λογαριασμό σας στα Windows. Να έχετε στο μυαλό σας πως υπάρχουν πολλές εφαρμογές οι οποίες μπορούν να αποκρυπτογραφήσουν passwords των Windows. Εάν κάποιος βρει των κωδικό σας στα Windows, τότε έχει και όλους τους κωδικούς σας από τον internet explorer.
- Προστατευτείτε από τα malware. Εάν απλές εφαρμογές μπορούν να έχουν πρόσβαση σε αυτά τα δεδομένα, τότε γιατί να μην μπορούν και τα malware;
- Αποθηκεύστε τους κωδικούς σας σε κάπια εφαρμογή διαχείρισης κωδικών όπως έιναι η KeePass. Βέβαια, με αυτό τον τρόπο θα χάσετε την άνεση της αυτόματης συμπλήρωσης των κωδικών σας.
- Κρυπτογραφήστε όλόκληρο το σκληρό σας δίσκο χρησιμοποιώντας τo TrueCrypt. Εϊναι προαιρετικό αλλά και έξτρα αποτελεσματικό.Όποιος θελήσει να πάρει οτιδήποτε από τον υπολογιστή σας, θα πρέπει αρχικά να αποκρυπτογραφήσει ολόκληρο το σκληρό δίσκο.
πηγή:pcsteps.gr
