Quindi, se sei un utente IE e rispondi "sì" per consentire al browser di ricordare la tua password, quanto è sicura questa informazione?
Dove sono salvati?
A partire da Internet Explorer 7, la password viene memorizzata nel registro di sistema (KEY_CURRENT_USER Software Microsoft Internet Explorer IntelliForms Storage2) e crittografata con la password di accesso dell'utente di Windows utilizzando l'API Data Protection che utilizza la crittografia Triple DES.
Quanto sono sicuri questi dati?
Al momento di questa stesura, Triple DES è praticamente indistruttibile con i metodi della forza bruta. Tuttavia, non è necessario forzare la crittografia dopo aver effettuato l'accesso all'account di Windows in cui sono archiviati i dati della password poiché Windows assume che, una volta effettuato l'accesso, le applicazioni possano accedere in sicurezza ai dati. Come risultato di IE che non utilizza una password principale (come quella che offre Firefox) per proteggere le sue password salvate, la rispettiva password dell'account Windows è la chiave di decrittografia DES Triple.
In poche parole, se è possibile accedere a Windows con l'account e la password, è possibile visualizzare le password del browser salvate. Utilizzando un'utilità liberamente disponibile come IE PassView di NirSoft, è possibile visualizzare ed esportare ogni password IE salvata.
Quindi il malware può accedervi?
Dopo aver visto quanto sia facile arrivare a questi dati, la prossima domanda logica è che il malware può facilmente accedere a questi dati. Non sono uno sviluppatore di malware, ma non vedo alcun motivo per cui non possa. Se eseguo la scansione dell'utilità IE PassView utilizzando Virus Total, è possibile vedere che il 55% degli scanner che utilizzano rileva che si tratta di malware (uno dei quali è Security Essentials).
Cosa succede se il mio computer viene rubato?
La semplice risposta è che questi dati sono sicuri quanto la password dell'account Windows. Come abbiamo mostrato sopra, quando accedi all'account utilizzando la password appropriata tutti questi dati sono facilmente accessibili. Se non si utilizza alcuna password, non si ha alcuna protezione.
Per fare un ulteriore passo avanti, ho fatto un reset della password dell'account per vedere cosa accadrebbe quando la password è stata forzatamente modificata al di fuori di Windows. Dopo il ripristino, ho salvato una nuova password per l'indirizzo Gmail (blah @) e ho eseguito IE PassView. Sono stato in grado di vedere il nome utente precedente (myemail @) che è stato salvato prima della reimpostazione della password, ma poiché le password dell'account (cioè "master password") utilizzate per salvare i dati sono diverse, non è stato possibile decodificare l'IE password salvata con la precedente password dell'account Windows. Questa è sicuramente una buona cosa.
Conclusione
Alla fine della giornata, la sicurezza delle tue password salvate da IE dipende totalmente dall'utente:
-
Utilizzare una password dell'account Windows molto potente. Tieni presente che esistono programmi di utilità che possono decifrare le password di Windows. Se qualcuno ottiene la password dell'account Windows, ha accesso alle password IE salvate.
- Proteggiti dal malware. Se le utility sono in grado di accedere facilmente alle password salvate, perché il malware non può essere rimosso?
-
Salva le tue password in un sistema di gestione delle password come KeePass. Ovviamente, perdi la comodità di avere il browser che riempie automaticamente le tue password.
- Utilizzare un'utilità di terze parti che si integra con IE e utilizza una password principale per gestire le password.
- Cripta l'intero disco rigido con TrueCrypt. Questo è completamente opzionale e per l'ultra protettivo, ma se qualcuno non può decodificare il tuo disco, sicuramente ne può ricavare qualcosa.
Ovviamente entrambi sono ovvi, ma ciò rafforza l'importanza di adottare misure per mantenere il sistema sicuro.
Scarica IE PassView da NirSoft
