Beranda » bagaimana » Seberapa Aman Sandi Internet Explorer Tersimpan Anda?

    Seberapa Aman Sandi Internet Explorer Tersimpan Anda?

    Salah satu alat yang paling nyaman yang ditawarkan browser adalah kemampuan untuk menyimpan dan secara otomatis mengisi ulang kata sandi Anda pada formulir login. Karena begitu banyak situs yang memerlukan akun dan diketahui (atau setidaknya harus diketahui) bahwa menggunakan kata sandi bersama adalah hal yang tidak boleh, manajer kata sandi hampir penting..

    Jadi jika Anda adalah pengguna IE dan menjawab "ya" untuk memungkinkan browser mengingat kata sandi Anda, seberapa aman informasi ini?

    Di mana mereka diselamatkan?

    Mulai dari Internet Explorer 7, kata sandi disimpan dalam registri sistem (KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) dan di-cipher terhadap kata sandi login pengguna Windows menggunakan Data Protection API yang menggunakan enkripsi Triple DES.

    Seberapa aman data ini?

    Pada saat penulisan ini, Triple DES praktis tidak bisa dipecahkan melalui metode brute force. Namun, sebenarnya tidak ada kebutuhan untuk memaksa enkripsi setelah Anda masuk ke akun Windows di mana data kata sandi Anda disimpan karena Windows membuat asumsi bahwa sekali masuk itu aman bagi aplikasi untuk mengakses data ini. Sebagai hasil dari IE yang tidak menggunakan kata sandi utama (seperti apa yang ditawarkan Firefox) untuk melindungi kata sandi yang disimpan, kata sandi akun Windows masing-masing adalah kunci dekripsi Triple DES.

    Sederhananya, jika Anda dapat masuk ke Windows dengan akun dan kata sandi, Anda dapat melihat kata sandi browser yang disimpan. Dengan menggunakan utilitas yang tersedia secara bebas seperti NirSoft IE PassView, Anda dapat melihat dan mengekspor setiap kata sandi IE yang disimpan.

    Begitu juga malware dapat mengakses ini?

    Setelah melihat betapa mudahnya mendapatkan data ini, pertanyaan logis berikutnya adalah apakah malware dapat dengan mudah mencapai data ini. Saya bukan pengembang malware, tapi saya tidak melihat alasan mengapa itu tidak bisa. Jika saya memindai utilitas IE PassView menggunakan Total Virus, Anda dapat melihat 55% dari scanner yang mereka gunakan mendeteksi itu adalah malware (salah satunya adalah Security Essentials).

    Sementara dalam kasus kami hasilnya adalah false positive, ini menunjukkan bahwa ada kemungkinan malware untuk mengakses data ini tidak terdeteksi bahkan ketika sistem menjalankan anti-virus. Selain itu, karena data yang dienkripsi adalah khusus pengguna, UAC prompt tidak akan dipicu oleh aplikasi yang mencoba mengakses data ini. Sebelum berpikir ini adalah cacat dalam OS, ini benar-benar cara yang seharusnya kalau tidak IE dan sejumlah aplikasi Windows lain yang menggunakan penyimpanan yang dilindungi akan memicu UAC prompt setiap kali mereka membuka.

    Bagaimana jika komputer saya dicuri?

    Jawaban sederhananya adalah data ini seaman kata sandi akun Windows Anda. Seperti yang telah kami tunjukkan di atas, ketika Anda login ke akun menggunakan kata sandi yang tepat, semua data ini mudah diakses. Jika Anda tidak menggunakan kata sandi, Anda tidak memiliki perlindungan.

    Untuk mengambil langkah ini lebih jauh, saya melakukan reset kata sandi akun untuk melihat apa yang akan terjadi ketika kata sandi diubah secara paksa di luar Windows. Setelah reset, saya menyimpan kata sandi alamat Gmail baru (bla @) dan menjalankan IE PassView. Saya dapat melihat nama pengguna sebelumnya (myemail @) yang disimpan sebelum kata sandi di-reset, tetapi karena kata sandi akun (yaitu "kata sandi utama") yang digunakan untuk menyimpan data berbeda, itu tidak dapat mendekripsi IE kata sandi disimpan di bawah kata sandi akun Windows sebelumnya. Ini jelas merupakan hal yang baik.

    Kesimpulan

    Pada akhirnya, keamanan kata sandi yang disimpan IE Anda sepenuhnya tergantung pada pengguna:

    • Gunakan kata sandi akun Windows yang sangat kuat. Perlu diingat, ada utilitas yang dapat menguraikan kata sandi Windows. Jika seseorang mendapatkan kata sandi akun Windows Anda, maka mereka memiliki akses ke kata sandi IE yang tersimpan.
    • Lindungi diri Anda dari malware. Jika utilitas dapat dengan mudah mengakses kata sandi yang disimpan, mengapa tidak bisa malware?
    • Simpan kata sandi Anda dalam sistem manajemen kata sandi seperti KeePass. Tentu saja, Anda kehilangan kenyamanan karena peramban secara otomatis mengisi kata sandi Anda.
    • Gunakan utilitas pihak ke-3 yang terintegrasi dengan IE dan menggunakan kata sandi utama untuk mengelola kata sandi Anda.
    • Enkripsi seluruh hard drive Anda menggunakan TrueCrypt. Ini sepenuhnya opsional dan untuk pelindung ultra, tetapi jika seseorang tidak dapat mendekripsi drive Anda, mereka pasti bisa mendapatkan apa pun darinya.

    Tentu saja kedua hal ini tidak perlu dikatakan, tetapi ini hanya memperkuat pentingnya mengambil langkah-langkah untuk menjaga keamanan sistem Anda.

    Unduh IE PassView dari NirSoft