Homepage » come » Quanto sono sicure le password di Internet Explorer salvate?

    Quanto sono sicure le password di Internet Explorer salvate?

    Uno degli strumenti più convenienti offerti dai browser è la possibilità di salvare e precompilare automaticamente le password nei moduli di accesso. Perché così tanti siti richiedono account ed è risaputo (o almeno dovrebbe esserlo) che l'uso di una password condivisa è un grande no-no, un gestore di password è quasi essenziale.

    Quindi, se sei un utente IE e rispondi "sì" per consentire al browser di ricordare la tua password, quanto è sicura questa informazione?

    Dove sono salvati?

    A partire da Internet Explorer 7, la password viene memorizzata nel registro di sistema (KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) e crittografata con la password di accesso dell'utente di Windows utilizzando l'API Data Protection che utilizza la crittografia Triple DES.

    Quanto sono sicuri questi dati?

    Al momento di questa stesura, Triple DES è praticamente indistruttibile con i metodi della forza bruta. Tuttavia, non è necessario forzare la crittografia dopo aver effettuato l'accesso all'account Windows in cui sono archiviati i dati della password, poiché Windows assume che, una volta effettuato l'accesso, le applicazioni possano accedere in sicurezza ai dati. Come risultato di IE che non utilizza una password principale (come quella che offre Firefox) per proteggere le sue password salvate, la rispettiva password dell'account Windows è la chiave di decrittografia DES Triple.

    In poche parole, se è possibile accedere a Windows con l'account e la password, è possibile visualizzare le password del browser salvate. Utilizzando un'utilità liberamente disponibile come IE PassView di NirSoft, è possibile visualizzare ed esportare ogni password IE salvata.

    Quindi il malware può accedervi?

    Dopo aver visto quanto sia facile arrivare a questi dati, la prossima domanda logica è che il malware può facilmente accedere a questi dati. Non sono uno sviluppatore di malware, ma non vedo alcuna ragione per cui non possa. Se eseguo la scansione dell'utility IE PassView utilizzando Virus Total, è possibile vedere che il 55% degli scanner che utilizzano rileva che si tratta di malware (uno dei quali è Security Essentials).

    Mentre nel nostro caso il risultato è un falso positivo, questo dimostra che è possibile che un pezzo di malware acceda a questi dati inosservato anche quando il sistema esegue l'anti-virus. Inoltre, poiché i dati crittografati sono specifici per l'utente, nessun prompt UAC verrà attivato da un'applicazione che tenta di accedere a questi dati. Prima di pensare che questo è un difetto nel sistema operativo, questo è davvero il modo in cui deve essere altrimenti IE e una miriade di altre applicazioni Windows che utilizzano l'archiviazione protetta attiverebbero un prompt UAC ogni volta che si aprivano.

    Cosa succede se il mio computer viene rubato?

    La semplice risposta è che questi dati sono sicuri quanto la password dell'account Windows. Come abbiamo mostrato sopra, quando accedi all'account utilizzando la password appropriata tutti questi dati sono facilmente accessibili. Se non si utilizza alcuna password, non si ha alcuna protezione.

    Per fare un ulteriore passo avanti, ho fatto un reset della password dell'account per vedere cosa accadrebbe quando la password è stata forzatamente modificata al di fuori di Windows. Dopo il ripristino, ho salvato una nuova password per l'indirizzo Gmail (blah @) e ho eseguito IE PassView. Sono stato in grado di vedere il nome utente precedente (myemail @) che è stato salvato prima della reimpostazione della password, ma poiché le password dell'account (cioè "master password") utilizzate per salvare i dati sono diverse, non è stato possibile decodificare l'IE password salvata con la precedente password dell'account Windows. Questa è sicuramente una buona cosa.

    Conclusione

    Alla fine della giornata, la sicurezza delle tue password salvate da IE dipende totalmente dall'utente:

    • Utilizzare una password dell'account Windows molto potente. Tieni presente che esistono programmi di utilità che possono decifrare le password di Windows. Se qualcuno ottiene la password dell'account Windows, ha accesso alle password IE salvate.
    • Proteggiti dal malware. Se le utility sono in grado di accedere facilmente alle password salvate, perché il malware non può essere rimosso?
    • Salva le tue password in un sistema di gestione delle password come KeePass. Ovviamente, perdi la comodità di avere il browser che riempie automaticamente le tue password.
    • Utilizzare un'utilità di terze parti che si integra con IE e utilizza una password principale per gestire le password.
    • Cripta l'intero disco rigido utilizzando TrueCrypt. Questo è completamente opzionale e per l'ultra protettivo, ma se qualcuno non può decodificare il tuo disco, sicuramente ne può ricavare qualcosa.

    Ovviamente entrambi sono ovvi, ma ciò rafforza l'importanza di adottare misure per mantenere il sistema sicuro.

    Scarica IE PassView da NirSoft