ブラウザが提供する最も便利なツールの1つは、ログインフォームにパスワードを保存して自動的に事前入力する機能です。非常に多くのサイトがアカウントを必要とし、共有パスワードを使用することは大したことではないことはよく知られている(または少なくともそうあるべきである)ため、パスワードマネージャーはほぼ不可欠です。
したがって、IEユーザーであり、ブラウザーがパスワードを記憶できるようにするために「はい」と答えた場合、この情報はどの程度安全ですか?
彼らはどこに救われますか?
Internet Explorer 7以降、パスワードはシステムレジストリ(KEY_CURRENT_USER Software Microsoft Internet Explorer IntelliForms Storage2)に保存され、トリプルDES暗号化を利用するDataProtectionAPIを使用してWindowsユーザーのログインパスワードに対して暗号化されます。
このデータはどの程度安全ですか?
この記事の執筆時点では、トリプルDESはブルートフォース方式では実質的に破壊されません。ただし、パスワードデータが保存されているWindowsアカウントにログインすると、アプリケーションがこのデータに安全にアクセスできるとWindowsが想定しているため、暗号化を総当たり攻撃する必要はありません。 IEが保存されたパスワードを保護するためにマスターパスワード(Firefoxが提供するものなど)を利用しない結果として、それぞれのWindowsアカウントのパスワードはトリプルDES復号化キーになります。
簡単に言えば、アカウントとパスワードを使用してWindowsにログインできる場合は、保存されているブラウザーのパスワードを確認できます。 NirSoftのIEPassViewなどの無料で利用できるユーティリティを使用すると、保存されているすべてのIEパスワードを表示およびエクスポートできます。
では、マルウェアはこれにアクセスできますか?
このデータに簡単にアクセスできることを確認した後、次の論理的な問題は、マルウェアがこのデータに簡単にアクセスできるかどうかです。私はマルウェア開発者ではありませんが、それができなかった理由はわかりません。 VirusTotalを使用してIEPassViewユーティリティをスキャンすると、使用するスキャナーの55%がマルウェア(そのうちの1つはSecurity Essentials)であると検出していることがわかります。
私たちの場合、結果は誤検知ですが、これは、システムがアンチウイルスを実行している場合でも、マルウェアがこのデータに検出されずにアクセスする可能性があることを示しています。さらに、暗号化されたデータはユーザー固有であるため、このデータにアクセスしようとするアプリケーションによってUACプロンプトがトリガーされることはありません。これがOSの欠陥であると考える前に、これは実際にはそうでなければならない方法です。そうでなければ、IEおよび保護されたストレージを利用する他のWindowsアプリケーションのホストは、開くたびにUACプロンプトをトリガーします。
コンピューターが盗まれた場合はどうなりますか?
簡単な答えは、このデータはWindowsアカウントのパスワードと同じくらい安全であるということです。上に示したように、適切なパスワードを使用してアカウントにログインすると、このすべてのデータに簡単にアクセスできます。パスワードを使用しない場合、保護はありません。
これをさらに一歩進めるために、アカウントのパスワードをリセットして、Windowsの外部でパスワードが強制的に変更された場合にどうなるかを確認しました。リセット後、新しいGmailアドレスパスワード(blah @)を保存し、IEPassViewを実行しました。パスワードがリセットされる前に保存された以前のユーザー名(myemail @)を確認できましたが、データの保存に使用されたアカウントパスワード(つまりマスターパスワード)が異なるため、保存されたIEパスワードを復号化できませんでした以前のWindowsアカウントのパスワードで。これは間違いなく良いことです。
結論
結局のところ、IEに保存されたパスワードのセキュリティは、完全にユーザーに依存します。
- 非常に強力なWindowsアカウントのパスワードを使用してください。 Windowsのパスワードを解読できるユーティリティがあることに注意してください。誰かがあなたのWindowsアカウントのパスワードを取得した場合、その人はあなたの保存されたIEパスワードにアクセスできます。
- マルウェアから身を守りましょう。ユーティリティが保存されたパスワードに簡単にアクセスできるのなら、なぜマルウェアに感染できないのでしょうか。
- KeePassなどのパスワード管理システムにパスワードを保存します。もちろん、ブラウザにパスワードを自動入力させるという便利さは失われます。
- IEと統合し、マスターパスワードを使用してパスワードを管理するサードパーティのユーティリティを使用します。
- TrueCryptを使用してハードドライブ全体を暗号化します。これは完全にオプションであり、非常に保護的ですが、誰かがあなたのドライブを復号化できない場合、彼らは確かにそれから何かを得ることができます。
もちろん、どちらも言うまでもありませんが、これは、システムを安全に保つための措置を講じることの重要性を強調するだけです。
NirSoftからIEPassViewをダウンロードする
その他のストーリー
仮想マシンハイパーバイザーとは何ですか?
ハイパーバイザーは仮想マシンを可能にするものであり、もはやサーバーだけのものではありません。あなたはおそらく毎日それを使っていて、それさえ知らないでしょう。現在使用しない場合は、近い将来使用します。
XBMCのスキンを作成して、名声、栄光、見栄えの良いメディアを閲覧する方法
XBMCは、見やすいインターフェイスのおかげでカスタマイズできる素晴らしいオープンソースのメディアセンターアプリケーションであり、ブロック上(および場合によっては郡内)で最も見栄えの良いメディアセンターを提供します。方法を確認するために読んでください。
Windows7用のMafia2テーマを使用して、デスクトップにざらざらしたドラマを追加します
デスクトップを1940〜50年代のエンパイアベイの街に戻しましょう。ここで、VitoScalettaはメイドマンになるための探求を開始します。このザラザラしたテーマには、ゲームから...までの壁紙とサウンドの素晴らしいセットが付属しています...
SemiSilentはAndroid携帯用のリンガーホワイトリストです
選択した少数からの呼び出しを除いて、呼び出し音をオフにしたいですか? SemiSilentは、Androidの呼び出し音を選択的にミュートして、重要な呼び出しが通過し、残りは無音のままになるようにします。
QuadrotorBlooperReelが私たちを誤ったセキュリティに陥れる[ビデオ]
5月に、ペンシルベニア大学のGRASPラボのQuadrotorsのビデオを共有しました。ビデオは、クワッドローターが完璧なフォーメーションとブレークネックスピードで動きを実行していることを示しました。彼らが...
キャッシュの更新
Webブラウザには、Webキャッシュ、ダウンロードされたWebページ要素(ページのコードやメディアコンポーネントなど)のローカル一時ストレージがあり、ブラウジングエクスペリエンスを高速化することを目的としています。たとえば、ニュースWebサイトに定期的にアクセスする場合、サイトのマストヘッドや基本的なナビゲーションアイコンなどの要素は次のようになります。
Webキャッシュ
Webキャッシュ、またはブラウザキャッシュは、帯域幅の使用量、サーバーの負荷、およびブラウザの遅延に対するユーザーの認識を減らすことを目的としたWebドキュメントの一時的な保存のためのメカニズムです。
Caffenol:DIYコーヒーベースのフィルム開発者[ビデオ]
上記のビデオでは、MakeMagazineのMattRichardsonが、簡単な家庭用品(コーヒー、洗浄ソーダ、ビタミンCなど)と安価な開発用品を組み合わせて、独自の自家製写真開発者を作成する方法を示しています...
デスクトップの楽しみ:スパイダーマンカスタマイズセット
スパイダーマンは、悪者と戦っている場合でも、J。ジョナジェイムソンの彼に対する否定的な宣伝キャンペーンに対処している場合でも、休憩をとることはないようです。幸いなことに、彼は決してあきらめません!今、あなたは私たちのスパイダーマンであなたのデスクトップであなたのお気に入りのフレンドリーな近所のウェブスリンガーをスイングさせることができます
LinuxでRsyncバックアップを簡単にセットアップする方法
最近のほとんどの人はDropboxのようなある種のオンラインバックアップを使用していますが、同じ機能が必要で、代わりに外付けハードドライブにバックアップしたい場合はどうでしょうか。簡単な方法は次のとおりです。
