保存したInternet Explorerのパスワードはどれくらい安全ですか?
ブラウザが提供する最も便利なツールの1つは、ログインフォームにパスワードを保存して自動的に事前入力する機能です。非常に多くのサイトがアカウントを必要とし、共有パスワードを使用することは大したことではないことがよく知られている(または少なくともそうあるべきです)ので、パスワードマネージャはほとんど不可欠です.
あなたがIEユーザーで、ブラウザにあなたのパスワードを記憶させるために“ yes”と答えるならば、この情報はどれほど安全ですか??
彼らはどこに保存されていますか?
Internet Explorer 7以降、パスワードはシステムレジストリ(KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2)に格納され、Triple DES暗号化を利用するData Protection APIを使用してWindowsユーザーのログインパスワードに対して暗号化されます。.
このデータはどの程度安全ですか?
これを書いている時点では、Triple DESはブルートフォース方式では実質的に解読不能です。ただし、パスワードデータが保存されているWindowsアカウントにログインすると、暗号化をブルートフォースする必要はまったくありません。ログインすると、アプリケーションがこのデータにアクセスしても安全だと見なされるからです。保存されたパスワードを保護するためにIEがマスターパスワード(Firefoxが提供するものなど)を利用していないため、それぞれのWindowsアカウントのパスワードはTriple DES復号化キーです。.
簡単に言うと、アカウントとパスワードを使ってWindowsにログインできれば、保存されたブラウザのパスワードを見ることができます。 NirSoftのIE PassViewなどの無料のユーティリティを使用して、保存されているすべてのIEパスワードを表示およびエクスポートできます。.
マルウェアはこれにアクセスできますか?
このデータに到達するのがどれほど簡単かを見た後、次の論理的な問題はマルウェアがこのデータに容易に到達できるかどうかです。私はマルウェアの開発者ではありませんが、できない理由はありません。 Virus Totalを使用してIE PassViewユーティリティをスキャンすると、55%のスキャナがマルウェアであることを検出しています(そのうちの1つがSecurity Essentialsです)。.
私たちの場合、結果は誤検知ですが、これは、システムがウイルス対策を実行している場合でも、マルウェアがこのデータにアクセスせずにアクセスする可能性があることを示しています。さらに、暗号化されたデータはユーザー固有のものであるため、このデータにアクセスしようとするアプリケーションによってUACプロンプトがトリガされることはありません。これがOSの欠陥であると考える前に、これは本当にそうでなければIEでなければならない方法です。保護されたストレージを利用する他のWindowsアプリケーションの多くは、開くたびにUACプロンプトを引き起こします。.
コンピュータが盗まれた場合はどうなりますか?
簡単な答えは、このデータはあなたのWindowsアカウントのパスワードと同じくらい安全だということです。上記のとおり、適切なパスワードを使用してアカウントにログインすると、このデータすべてに簡単にアクセスできます。パスワードを使用しないと、保護されません。.
これをさらに一歩進めるために、パスワードをWindowsの外部で強制的に変更したときに何が起こるかを確認するために、アカウントのパスワードをリセットしました。リセット後、新しいGmailアドレスのパスワード(blah @)を保存してIE PassViewを実行しました。パスワードをリセットする前に保存されていた以前のユーザー名(myemail @)を見ることができましたが、データを保存するために使用されたアカウントパスワード(つまり「マスターパスワード」)が異なるため、IEを復号化できませんでした以前のWindowsアカウントのパスワードで保存されたパスワード。これは間違いなく良いことです.
結論
結局のところ、あなたのIEで保存されたパスワードのセキュリティは完全にユーザー次第です。
- 非常に強力なWindowsアカウントパスワードを使用してください。覚えておいてください、Windowsのパスワードを解読することができるユーティリティがあります。誰かがあなたのWindowsアカウントのパスワードを取得した場合、彼らはあなたの保存されたIEのパスワードにアクセスすることができます.
- マルウェアから身を守ります。ユーティリティがあなたの保存したパスワードに簡単にアクセスできるのなら、なぜマルウェアができないのか?
- KeePassなどのパスワード管理システムにパスワードを保存してください。もちろん、ブラウザにパスワードを自動入力させるという利便性は失われます。.
- IEと統合し、あなたのパスワードを管理するためにマスターパスワードを使用するサードパーティ製のユーティリティを使用する.
- TrueCryptを使ってハードドライブ全体を暗号化します。これは完全にオプションであり、超保護のためのものですが、誰かがあなたのドライブを復号化できない場合、彼らは確かにそれから何かを得ることができます.
もちろんこれらは両方とも言うまでもありませんが、これはあなたのシステムを安全に保つための対策を講じることの重要性を強めるだけです。.
NirSoftからIE PassViewをダウンロード