کلمات عبور ذخیره شده شما در اینترنت اکسپلورر چه امنیتی دارند؟

  • 1390/5/2
  • ITTeach
  • 0

یکی از راحت ترین ابزارهای پیشنهادی مرورگر ها، قابلیت ذخیره و یادآوری خودکار کلمه عبور شما هنگام ورود به یک سایت می باشد. از آنجاییکه بسیاری از سایت ها نیاز به ثبت نام دارند و کاملا آشکار است که استفاده از یک رمز عبور مشترک اشتباه بزرگی است، تقریبا وجود یک مدیریت رمز عبور ضروری است. بنابراین اگر شما کاربر اینترنت اکسپلورر بوده و در پاسخ به مرورگر برای یادآوری رمز عبور خود جواب مثبت می دهید، این اطلاعات چه امنیتی دارند؟

آنها کجا ذخیره می شوند؟

کلمات عبور در اینترنت اکسپلورر 7 در رجیستری سیستم ذخیره می شوند (KEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2) و با استفاده از حفاظت اطلاعات API که از رمزنگاری سه گانه DES بهره می گیرد، کلمه عبور ورودی کاربر را رمز گذاری می کند.

این اطلاعات چه امنیتی دارند؟

در زمان نگارش این مقاله، DES سه گانه در مقابل تمامی روش های نفوذ عملا شکست ناپذیر می باشد. با این حال هنگامیکه شما وارد حساب کاربری ویندوز جایی که اطلاعات کلمه عبور ذخیره می شوند، شده اید ویندوز فرض کرده است که ورود به آن برای دسترسی به این اطلاعات امن می باشد و براستی نیازی به نیروهای نفوذی در رمزنگاری نیست. یکی از نتایج عدم استفاده اینترنت اکسپلورر از رمز عبور جامع (مشابه آنچه فایرفاکس ارائه می کند) برای حفاظت از رمزهای عبور ذخیره شده، رمز عبور کاربری ویندوز کلید رمزگشایی سه گانه DES می باشد.

نگران نباشید، اگر می توانید با حساب و رمز عبور وارد ویندوز شوید، می توانید رمزهای عبور ذخیره شده مرورگر را ببینید. شما با استفاده از یک برنامه رایگان موجود مثل NirSoft’s IE می توانید هر مورد از رمزهای عبور ذخیره شده در اینترنت اکسپلورر را مشاهده کنید.

آیا نرم افزارهای مخرب به آن دسترسی دارند؟

پس از اینکه دانستید دریافت این اطلاعات آسان می باشد، سوال منطقی بعدی این است که نرم افزارهای مخرب می توانند براحتی به این اطلاعات دسترسی پیدا کنند یا خیر؟ من یک توسعه دهنده نرم افزارهای مخرب نیستم اما دلیلی هم نمی بینم که این نرم افزارها نتوانند چنین کاری بکنند. اگر من با استفاده از Virus Total برنامه IE  PassView را پویش کنم، می بینید که %55 پویشگرهایی (اسکنرها) که برای شناسایی مورد استفاده  قرار می گیرند، نرم افزار مخرب هستند (که یکی از الزامات امنیتی است).

درحالیکه از نظر ما نتیجه مثبت کاذب است، این مورد نشان می دهد که دسترسی به این اطلاعات غیر قابل تشخیص برای یک نرم افزار مخرب حتی زمانیکه سیستم در حال اجرای یک ضد ویروس است امکان پذیر می باشد. علاوه بر این، از آنجاییکه اطلاعات رمز گذاری شده مخصوص کاربر می باشد هیچ اخطار UAC توسظ نرم افزاری که در تلاش برای دسترسی به این اطلاعات می باشد، داده نمی شود. قبل از آنکه با خود بیاندیشید این یک نقص در سیستم عامل است، بدانید این تنها راه موجود می باشد در غیر اینصورت اینترنت اکسپلورر و یک میزبان دیگر از سایر برنامه های کاربردی ویندوز که از ذخیره سازی حفاظت شده استفاده می کنند با هربار باز کردن یک اخطار UAC میدهند.

اگر کامپیوتر من دزدیده شود چه پیش می آید؟

پاسخ این است که اطلاعات به اندازه رمز عبور کاربری ویندوز شما امنیت دارند. همانطور که در بالا نشان دادیم هنگامیکه با استفاده از رمز عبور مناسب وارد می شوید، همه این اطلاعات براحتی قابل دسترسی می باشند. اگر از هیچ رمز عبوری استفاده نکنید، هیچ حفاظتی هم نخواهید داشت.

من برای آنکه این موضوع را یک قدم به جلو پیش ببریم، رمز عبور کاربری را مجددا تنظیم کردم تا ببینم هنگامیکه رمز عبور خارج ار محیط ویندوز تغییر می کند چه اتفاقی می افتد؟ پس از تنظیم مجدد من یک رمز عبور جدید برای آدرس جی میل (blah@) ذخیره کردم و IE PassView را اجرا نمودم. من قادر به دیدن نام کاربری قبلی (myemail@) که قبل از تنظیم مجدد رمز عبور ذخیره شده بود، بودم اما چون رمزهای عبور کاربری (برای مثال رمز عبور جامع) مورد استفاده برای ذخیره اطلاعات متفاوت هستند، قادر به رمزگشایی رمزعبور ذخیره شده اینترنت اکسپلورر تحت رمز عبور کاربری ویندوز قبلی نمی باشد. این واقعا چیز خوبی است.

نتیجه گیری

در پایان، امنیت رمز عبور ذخیره شده اینترنت اکسپلورر شما کاملا به خود کاربر بستگی دارد:

– از یک رمز عبور کاربری ویندوز بسیار قوی استفاده کنید. بخاطر داشته باشید برنامه هایی وجود دارند که می توانند رمزهای عبور شما را کشف کنند. اگرسی رمز عبور کاربری ویندوز شما را بدست آورد سپس به رمزهای عبور ذخیره شده اینترنت اکسپلورر شما نیز دسترسی خواهد داشت.

– از خودتان در مقابل نرم افزارهای مخرب محافظت کنید. اگر برنامه ها به سادگی بتوانند به رمزهای عبور ذخیره شده شما دسترسی پیدا کنند چرا نرم افزارهای مخرب نتوانند؟

– کلمات عبور خود را در سیستم مدیریت رمز عبوری همچون KeePass ذخیره کنید. یقینا آسودگی داشتن مرورگر خود کاری که کلمات عبور شما را بیاد می آورد حل کرده اید.

– از یک برنامه srd party که با اینترنت اکسپلورر ادغام شده و از یک رمز عبور جامع برای مدیریت رمزهای عبور شما بهره می گیرد، استفاده کنید.

– با استفاده از TrueCrypt کل هارد درایو خود را رمزگذاری کنید. این کاملا اختیاری و برای محافظت های افراطی می باشد. اما اگر کسی نتواند درایو شما را رمزگذاری کند قطعا نمی تواند جیزی از آن بیرون بکشد.

قطعا این دو مورد بدون بیان کردن نیز پیش می روند اما این فقط اهمیت گام برداشتن برای حفظ امنیت سیستم شما را تقویت می کند.

 

منبع: howtogeek

دیدگاه خود را وارد کنید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *