Seberapa Amankah Kata Sandi Internet Explorer Anda yang Tersimpan?

Daftar Isi:

Seberapa Amankah Kata Sandi Internet Explorer Anda yang Tersimpan?
Seberapa Amankah Kata Sandi Internet Explorer Anda yang Tersimpan?

Video: Seberapa Amankah Kata Sandi Internet Explorer Anda yang Tersimpan?

Video: Seberapa Amankah Kata Sandi Internet Explorer Anda yang Tersimpan?
Video: Smart Home Hub or Nah? When and How to Use a Hub - YouTube 2024, Mungkin
Anonim
Salah satu alat bantu browser paling nyaman yang ditawarkan adalah kemampuan untuk menyimpan dan secara otomatis mengisi kata sandi Anda pada formulir masuk. Karena begitu banyak situs memerlukan akun dan sudah diketahui (atau setidaknya) bahwa menggunakan kata sandi bersama adalah tidak-tidak-tidak, pengelola kata sandi hampir penting.
Salah satu alat bantu browser paling nyaman yang ditawarkan adalah kemampuan untuk menyimpan dan secara otomatis mengisi kata sandi Anda pada formulir masuk. Karena begitu banyak situs memerlukan akun dan sudah diketahui (atau setidaknya) bahwa menggunakan kata sandi bersama adalah tidak-tidak-tidak, pengelola kata sandi hampir penting.

Jadi jika Anda adalah pengguna IE dan menjawab "ya" untuk memungkinkan peramban mengingat kata sandi Anda, seberapa amankah informasi ini?

Di mana mereka diselamatkan?

Mulai dari Internet Explorer 7, kata sandi disimpan di registri sistem (KEY_CURRENT_USER Software Microsoft Internet Explorer IntelliForms Storage2) dan dipasangi sandi login pengguna Windows menggunakan API Perlindungan Data yang menggunakan enkripsi Triple DES.

Seberapa amankah data ini?

Pada saat penulisan ini, Triple DES praktis tidak bisa dipecahkan melalui metode brute force. Namun, sebenarnya tidak perlu menggaruk paksa enkripsi setelah Anda masuk ke akun Windows tempat data kata sandi disimpan karena Windows membuat asumsi bahwa setelah masuk, aman untuk aplikasi mengakses data ini. Sebagai hasil dari IE yang tidak memanfaatkan kata sandi utama (seperti apa yang ditawarkan Firefox) untuk melindungi kata sandi yang disimpan, masing-masing kata sandi akun Windows adalah kunci Dekripsi DES triple.

Sederhananya, jika Anda dapat masuk ke Windows dengan akun dan kata sandi, Anda dapat melihat kata sandi browser yang disimpan. Menggunakan utilitas yang tersedia secara gratis seperti IE PassView NirSoft, Anda dapat melihat dan mengekspor setiap kata sandi IE yang tersimpan.

Image
Image

Jadi dapatkah malware mengakses ini?

Setelah melihat betapa mudahnya mencapai data ini, pertanyaan logis berikutnya adalah apakah malware dengan mudah bisa mendapatkan data ini. Saya bukan pengembang perangkat lunak perusak, tetapi saya tidak melihat alasannya mengapa tidak. Jika saya memindai utilitas IE PassView menggunakan Total Virus, Anda dapat melihat 55% dari pemindai yang mereka gunakan mendeteksi itu adalah malware (salah satunya adalah Security Essentials).

Sementara dalam kasus kami hasilnya adalah false positive, ini menunjukkan bahwa adalah mungkin untuk sepotong malware untuk mengakses data ini tanpa terdeteksi bahkan ketika sistem menjalankan anti-virus. Selain itu, karena data yang dienkripsi adalah pengguna tertentu, tidak ada perintah UAC yang akan dipicu oleh aplikasi yang mencoba mengakses data ini. Sebelum berpikir ini adalah cacat dalam OS, ini benar-benar cara itu harus dinyatakan IE dan sejumlah aplikasi Windows lain yang memanfaatkan penyimpanan yang dilindungi akan memicu prompt UAC setiap kali mereka membuka.
Sementara dalam kasus kami hasilnya adalah false positive, ini menunjukkan bahwa adalah mungkin untuk sepotong malware untuk mengakses data ini tanpa terdeteksi bahkan ketika sistem menjalankan anti-virus. Selain itu, karena data yang dienkripsi adalah pengguna tertentu, tidak ada perintah UAC yang akan dipicu oleh aplikasi yang mencoba mengakses data ini. Sebelum berpikir ini adalah cacat dalam OS, ini benar-benar cara itu harus dinyatakan IE dan sejumlah aplikasi Windows lain yang memanfaatkan penyimpanan yang dilindungi akan memicu prompt UAC setiap kali mereka membuka.

Bagaimana jika komputer saya dicuri?

Jawaban sederhana adalah data ini seaman kata sandi akun Windows Anda. Seperti yang telah kami tunjukkan di atas, ketika Anda masuk ke akun menggunakan kata sandi yang sesuai, semua data ini mudah diakses. Jika Anda tidak menggunakan kata sandi, Anda tidak memiliki perlindungan.

Untuk mengambil langkah lebih jauh ini, saya melakukan reset kata sandi akun untuk melihat apa yang akan terjadi ketika kata sandi secara paksa diubah di luar Windows. Setelah reset, saya menyimpan kata sandi alamat Gmail baru (blah @) dan menjalankan IE PassView. Saya dapat melihat nama pengguna sebelumnya (myemail @) yang disimpan sebelum kata sandi direset, tetapi karena kata sandi akun (yaitu "kata sandi utama") yang digunakan untuk menyimpan data berbeda, itu tidak dapat mendekripsi IE kata sandi disimpan di bawah kata sandi akun Windows sebelumnya. Ini jelas merupakan hal yang baik.

Image
Image

Kesimpulan

Pada akhirnya, keamanan kata sandi yang tersimpan di IE Anda sepenuhnya bergantung pada pengguna:

  • Gunakan kata sandi akun Windows yang sangat kuat. Perlu diingat, ada utilitas yang dapat menguraikan kata sandi Windows. Jika seseorang mendapatkan kata sandi akun Windows Anda maka mereka memiliki akses ke kata sandi IE Anda yang tersimpan.

  • Lindungi diri Anda dari malware. Jika utilitas dapat dengan mudah mengakses kata sandi yang Anda simpan, mengapa tidak dapat malware?
  • Simpan kata sandi Anda dalam sistem manajemen kata sandi seperti KeePass. Tentu saja, Anda kehilangan kenyamanan memiliki browser otomatis mengisi kata sandi Anda.

  • Gunakan utilitas pihak ke-3 yang terintegrasi dengan IE dan menggunakan kata sandi utama untuk mengelola kata sandi Anda.
  • Enkripsi seluruh hard drive Anda menggunakan TrueCrypt. Ini benar-benar opsional dan untuk pelindung ultra, tetapi jika seseorang tidak dapat mendekripsi drive Anda, mereka pasti bisa mendapatkan apa pun darinya.

Tentu saja keduanya tidak perlu dikatakan, tetapi ini hanya memperkuat pentingnya mengambil langkah untuk menjaga sistem Anda tetap aman.

Unduh IE PassView dari NirSoft

Direkomendasikan: