Wie sicher sind Ihre gespeicherten Internet Explorer-Kennwörter?

Inhaltsverzeichnis:

Video: Wie sicher sind Ihre gespeicherten Internet Explorer-Kennwörter?

Video: Wie sicher sind Ihre gespeicherten Internet Explorer-Kennwörter?
Video: Kein Internet? Anleitung mit 10 Tipps - Probleme mit der Internetverbindung lösen 2024, März
Wie sicher sind Ihre gespeicherten Internet Explorer-Kennwörter?
Wie sicher sind Ihre gespeicherten Internet Explorer-Kennwörter?
Anonim
Eines der bequemsten Tools, die Browser anbieten, ist die Möglichkeit, Kennwörter in Anmeldeformularen zu speichern und automatisch vorzufüllen. Da so viele Sites Konten benötigen und bekannt ist (oder zumindest sein sollte), dass die Verwendung eines gemeinsam genutzten Passworts ein großes Nein ist, ist ein Passwortmanager fast unverzichtbar.
Eines der bequemsten Tools, die Browser anbieten, ist die Möglichkeit, Kennwörter in Anmeldeformularen zu speichern und automatisch vorzufüllen. Da so viele Sites Konten benötigen und bekannt ist (oder zumindest sein sollte), dass die Verwendung eines gemeinsam genutzten Passworts ein großes Nein ist, ist ein Passwortmanager fast unverzichtbar.

Wenn Sie also ein IE-Benutzer sind und mit „Ja“antworten, damit sich der Browser Ihr Kennwort merken kann, wie sicher sind diese Informationen?

Wo sind sie gerettet?

Ab Internet Explorer 7 werden Kennwörter in der Systemregistrierung (KEY_CURRENT_USER Software Microsoft Internet Explorer IntelliForms Storage2) gespeichert und mithilfe der Data Protection API, die die Triple-DES-Verschlüsselung verwendet, gegen das Anmeldekennwort des Windows-Benutzers verschlüsselt.

Wie sicher sind diese Daten?

Zum jetzigen Zeitpunkt ist Triple DES durch Brute-Force-Methoden praktisch unzerstörbar. Es ist jedoch nicht unbedingt erforderlich, die Verschlüsselung brutal zu erzwingen, sobald Sie bei dem Windows-Konto angemeldet sind, in dem Ihre Kennwortdaten gespeichert sind, da Windows davon ausgeht, dass nach dem Anmelden für Anwendungen der Zugriff auf diese Daten sicher ist. Da der IE zum Schutz der gespeicherten Kennwörter kein Master-Kennwort verwendet (z. B. das, was Firefox anbietet), ist das entsprechende Kennwort des Windows-Kontos der Triple-DES-Entschlüsselungsschlüssel.

Einfach ausgedrückt: Wenn Sie sich mit Konto und Kennwort bei Windows anmelden können, können Sie die gespeicherten Browser-Kennwörter anzeigen. Mit einem frei verfügbaren Dienstprogramm wie IE PassView von NirSoft können Sie jedes gespeicherte IE-Kennwort anzeigen und exportieren.

Image
Image

Kann Malware also darauf zugreifen?

Nachdem wir gesehen haben, wie einfach es ist, an diese Daten zu gelangen, ist die nächste logische Frage, ob Malware diese Daten leicht erreichen kann. Ich bin kein Malware-Entwickler, sehe aber keinen Grund, warum dies nicht möglich ist. Wenn ich das IE PassView-Programm mit Virus Total scanne, können Sie sehen, dass 55% der Scanner, die sie verwenden, Malware erkennen (einer davon ist Security Essentials).

Während in unserem Fall das Ergebnis ein falsch positives Ergebnis ist, zeigt dies, dass es möglich ist, dass Malware auf diese Daten zugreifen kann, selbst wenn das System Virenschutz ausführt. Da die verschlüsselten Daten benutzerspezifisch sind, wird keine Aufforderung zur Benutzerkontensteuerung von einer Anwendung ausgelöst, die versucht, auf diese Daten zuzugreifen. Bevor Sie denken, dass dies ein Fehler im Betriebssystem ist, muss dies wirklich der Fall sein. Andernfalls müssen IE und eine Vielzahl anderer Windows-Anwendungen, die den geschützten Speicher verwenden, bei jedem Öffnen eine UAC-Eingabeaufforderung auslösen.
Während in unserem Fall das Ergebnis ein falsch positives Ergebnis ist, zeigt dies, dass es möglich ist, dass Malware auf diese Daten zugreifen kann, selbst wenn das System Virenschutz ausführt. Da die verschlüsselten Daten benutzerspezifisch sind, wird keine Aufforderung zur Benutzerkontensteuerung von einer Anwendung ausgelöst, die versucht, auf diese Daten zuzugreifen. Bevor Sie denken, dass dies ein Fehler im Betriebssystem ist, muss dies wirklich der Fall sein. Andernfalls müssen IE und eine Vielzahl anderer Windows-Anwendungen, die den geschützten Speicher verwenden, bei jedem Öffnen eine UAC-Eingabeaufforderung auslösen.

Was ist, wenn mein Computer gestohlen wird?

Die einfache Antwort ist, dass diese Daten so sicher sind wie das Kennwort Ihres Windows-Kontos. Wie wir oben gezeigt haben, sind alle diese Daten leicht zugänglich, wenn Sie sich mit dem entsprechenden Kennwort bei Ihrem Konto anmelden. Wenn Sie kein Passwort verwenden, haben Sie keinen Schutz.

Um dies noch einen Schritt weiter zu gehen, habe ich das Kontokennwort zurückgesetzt, um zu sehen, was passiert, wenn das Kennwort außerhalb von Windows zwangsweise geändert wurde. Nach dem Zurücksetzen habe ich ein neues Passwort für die Google Mail-Adresse (blah @) gespeichert und IE PassView ausgeführt. Ich konnte den vorherigen Benutzernamen (myemail @) sehen, der vor dem Zurücksetzen des Kennworts gespeichert wurde. Da jedoch die Kontokennwörter (z. B. "Hauptkennwort") zum Speichern der Daten unterschiedlich sind, konnte der IE nicht entschlüsselt werden Kennwort, das unter dem vorherigen Windows-Kennwort gespeichert wurde. Das ist definitiv eine gute Sache.

Image
Image

Fazit

Am Ende des Tages hängt die Sicherheit Ihrer im IE gespeicherten Kennwörter vollständig vom Benutzer ab:

  • Verwenden Sie ein sehr starkes Windows-Kontokennwort. Beachten Sie, dass es Dienstprogramme gibt, die Windows-Kennwörter entschlüsseln können. Wenn jemand Ihr Windows-Kontokennwort erhält, hat er Zugriff auf Ihre gespeicherten IE-Kennwörter.

  • Schützen Sie sich vor Malware. Wenn Dienstprogramme einfach auf Ihre gespeicherten Kennwörter zugreifen können, warum kann Malware dies nicht tun?
  • Speichern Sie Ihre Kennwörter in einem Kennwortverwaltungssystem wie KeePass. Natürlich verlieren Sie den Komfort, dass der Browser Ihre Kennwörter automatisch ausfüllt.

  • Verwenden Sie ein Dienstprogramm eines Drittanbieters, das in den IE integriert ist und ein Hauptkennwort zum Verwalten Ihrer Kennwörter verwendet.
  • Verschlüsseln Sie Ihre gesamte Festplatte mit TrueCrypt. Dies ist absolut optional und für den Ultra-Schutz, aber wenn jemand Ihre Festplatte nicht entschlüsseln kann, kann er sicherlich etwas davon bekommen.

Natürlich ist beides selbstverständlich, aber dies unterstreicht nur die Wichtigkeit, Schritte zu unternehmen, um Ihr System sicher zu halten.

Laden Sie IE PassView von NirSoft herunter

Empfohlen: