Vì vậy, nếu bạn là một người dùng IE và trả lời "có" để cho phép trình duyệt ghi nhớ mật khẩu của bạn, thông tin này an toàn đến mức nào?
Chúng được lưu ở đâu?
Bắt đầu từ Internet Explorer 7, mật khẩu được lưu trữ trong hệ thống đăng ký (KEY_CURRENT_USER Software Microsoft Internet Explorer IntelliForms Storage2) và được mã hóa dựa trên mật khẩu đăng nhập của người dùng Windows bằng cách sử dụng API bảo vệ dữ liệu sử dụng mã hóa Triple DES.
Dữ liệu này an toàn đến mức nào?
Tại thời điểm viết bài này, Triple DES thực tế là không thể phá vỡ thông qua các phương thức vũ phu. Tuy nhiên, thực sự không cần thiết phải mã hóa mã hóa khi bạn đăng nhập vào tài khoản Windows nơi lưu trữ dữ liệu mật khẩu của bạn vì Windows cho rằng khi đăng nhập vào nó là an toàn cho các ứng dụng truy cập dữ liệu này. Do IE không sử dụng mật khẩu chủ (như những gì Firefox cung cấp) để bảo vệ mật khẩu đã lưu của nó, mật khẩu tài khoản Windows tương ứng là khóa giải mã Triple DES.
Nói một cách đơn giản, nếu bạn có thể đăng nhập vào Windows bằng tài khoản và mật khẩu, bạn có thể thấy mật khẩu trình duyệt đã lưu. Sử dụng tiện ích miễn phí có sẵn như IE PassView của NirSoft, bạn có thể xem và xuất mọi mật khẩu IE đã lưu.
Vậy có thể truy cập phần mềm độc hại này không?
Sau khi thấy việc truy cập dữ liệu này dễ đến mức nào, câu hỏi logic tiếp theo là phần mềm độc hại có thể dễ dàng truy cập dữ liệu này. Tôi không phải là một nhà phát triển phần mềm độc hại, nhưng tôi không thấy bất kỳ lý do gì mà nó không thể. Nếu tôi quét tiện ích IE PassView bằng cách sử dụng Virus Total, bạn có thể thấy 55% các máy quét mà họ sử dụng phát hiện nó là phần mềm độc hại (một trong số đó là Security Essentials).
Nếu máy tính của tôi bị đánh cắp thì sao?
Câu trả lời đơn giản là dữ liệu này an toàn như mật khẩu tài khoản Windows của bạn. Như chúng tôi đã trình bày ở trên, khi bạn đăng nhập vào tài khoản bằng mật khẩu thích hợp, tất cả dữ liệu này đều có thể truy cập dễ dàng. Nếu bạn không sử dụng mật khẩu, bạn không có bảo vệ.
Để thực hiện bước này xa hơn, tôi đã đặt lại mật khẩu tài khoản để xem điều gì sẽ xảy ra khi mật khẩu bị thay đổi mạnh mẽ bên ngoài Windows. Sau khi đặt lại, tôi đã lưu mật khẩu địa chỉ Gmail mới (blah @) và chạy IE PassView. Tôi đã có thể thấy tên người dùng trước đó (myemail @) đã được lưu trước khi đặt lại mật khẩu, nhưng vì mật khẩu tài khoản (nghĩa là "mật khẩu chính") được sử dụng để lưu dữ liệu khác nhau nên không thể giải mã được IE mật khẩu được lưu theo mật khẩu tài khoản Windows trước đó. Điều này chắc chắn là một điều tốt.
Phần kết luận
Vào cuối ngày, bảo mật của mật khẩu đã lưu của IE phụ thuộc hoàn toàn vào người dùng:
-
Sử dụng mật khẩu tài khoản Windows rất mạnh. Hãy ghi nhớ, có những tiện ích có thể giải mã mật khẩu Windows. Nếu ai đó nhận mật khẩu tài khoản Windows của bạn thì họ có quyền truy cập vào mật khẩu IE đã lưu của bạn.
- Tự bảo vệ mình khỏi phần mềm độc hại. Nếu các tiện ích có thể dễ dàng truy cập vào mật khẩu đã lưu của bạn, tại sao phần mềm độc hại không thể?
-
Lưu mật khẩu của bạn trong một hệ thống quản lý mật khẩu như KeePass. Tất nhiên, bạn mất sự tiện lợi khi trình duyệt tự động điền mật khẩu của bạn.
- Sử dụng tiện ích của bên thứ ba tích hợp với IE và sử dụng mật khẩu chính để quản lý mật khẩu của bạn.
- Mã hóa toàn bộ ổ cứng của bạn bằng TrueCrypt. Điều này là hoàn toàn tùy chọn và để bảo vệ cực kỳ, nhưng nếu ai đó không thể giải mã ổ đĩa của bạn, họ chắc chắn có thể nhận được bất kỳ thứ gì từ nó.
Tất nhiên cả hai đều không nói, nhưng điều này chỉ củng cố tầm quan trọng của việc thực hiện các bước để giữ cho hệ thống của bạn an toàn.
Tải xuống IE PassView từ NirSoft
