¿Qué tan seguros son sus contraseñas de Internet Explorer guardadas?
Una de las herramientas más convenientes que ofrecen los navegadores es la posibilidad de guardar y rellenar automáticamente sus contraseñas en los formularios de inicio de sesión. Debido a que muchos sitios requieren cuentas y es bien sabido (o al menos debería serlo) que usar una contraseña compartida es un gran no-no, un administrador de contraseñas es casi esencial.
Entonces, si usted es un usuario de IE y responde "sí" para permitir que el navegador recuerde su contraseña, ¿qué tan segura es esta información??
Donde estan guardados?
A partir de Internet Explorer 7, las contraseñas se almacenan en el registro del sistema (KEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ IntelliForms \ Storage2) y se cifran con la contraseña de inicio de sesión del usuario de Windows mediante la API de protección de datos que utiliza el cifrado Triple DES..
¿Qué tan seguros son estos datos??
En el momento de escribir este artículo, Triple DES es prácticamente irrompible a través de los métodos de fuerza bruta. Sin embargo, realmente no hay necesidad de forzar el cifrado una vez que haya iniciado sesión en la cuenta de Windows donde se almacenan los datos de su contraseña, ya que Windows asume que una vez que haya iniciado sesión es seguro que las aplicaciones accedan a estos datos. Como resultado de que IE no utiliza una contraseña maestra (como lo que ofrece Firefox) para proteger sus contraseñas guardadas, la contraseña de la cuenta de Windows respectiva es la clave de descifrado Triple DES.
En pocas palabras, si puede iniciar sesión en Windows con la cuenta y la contraseña, puede ver las contraseñas del navegador guardadas. Utilizando una utilidad de libre acceso, como el IE PassView de NirSoft, puede ver y exportar cada contraseña de IE guardada.
Así puede el malware acceder a este?
Después de ver lo fácil que es obtener estos datos, la siguiente pregunta lógica es si el malware puede acceder fácilmente a estos datos. No soy un desarrollador de malware, pero no veo ninguna razón por la que no pueda. Si escaneo la utilidad IE PassView usando Virus Total, puede ver que el 55% de los escáneres que usan detectan que es malware (uno de los cuales es Security Essentials).
Si bien en nuestro caso el resultado es un falso positivo, esto muestra que es posible que una pieza de malware acceda a estos datos sin ser detectados, incluso cuando el sistema ejecuta antivirus. Además, como los datos cifrados son específicos del usuario, ninguna solicitud de UAC será activada por una aplicación que intente acceder a estos datos. Antes de pensar que esto es una falla en el sistema operativo, esta es realmente la forma en que debe ser IE y una gran cantidad de otras aplicaciones de Windows que utilizan el almacenamiento protegido activarán un aviso de UAC cada vez que se abren.
¿Qué pasa si mi computadora es robada??
La respuesta simple es que estos datos son tan seguros como la contraseña de su cuenta de Windows. Como hemos mostrado anteriormente, cuando inicia sesión en la cuenta con la contraseña adecuada, se puede acceder fácilmente a todos estos datos. Si no usa contraseña, no tiene protección..
Para llevar esto un paso más allá, realicé un restablecimiento de la contraseña de la cuenta para ver qué pasaría cuando la contraseña fuera cambiada de manera forzada fuera de Windows. Después del restablecimiento, guardé una nueva contraseña de dirección de Gmail (blah @) y ejecuté IE PassView. Pude ver el nombre de usuario anterior (myemail @) que se guardó antes de restablecer la contraseña, pero debido a que las contraseñas de la cuenta (es decir, la "contraseña maestra") utilizadas para guardar los datos son diferentes, no se pudo descifrar el IE Contraseña guardada bajo la contraseña de la cuenta de Windows anterior. Esto es definitivamente algo bueno..
Conclusión
Al final del día, la seguridad de sus contraseñas guardadas de IE depende totalmente del usuario:
- Utilice una contraseña de cuenta de Windows muy fuerte. Tenga en cuenta que existen utilidades que pueden descifrar las contraseñas de Windows. Si alguien obtiene la contraseña de su cuenta de Windows, tendrá acceso a las contraseñas de IE guardadas..
- Protégete del malware. Si las empresas de servicios públicos pueden acceder fácilmente a sus contraseñas guardadas, ¿por qué no puede el malware??
- Guarde sus contraseñas en un sistema de administración de contraseñas como KeePass. Por supuesto, pierde la conveniencia de que el navegador complete automáticamente sus contraseñas.
- Use una utilidad de terceros que se integra con IE y usa una contraseña maestra para administrar sus contraseñas.
- Cifre todo su disco duro utilizando TrueCrypt. Esto es completamente opcional y para el ultra protector, pero si alguien no puede descifrar su unidad, seguramente pueden sacar cualquier cosa de ella..
Por supuesto, ambas cosas son obvias, pero esto solo refuerza la importancia de tomar medidas para mantener su sistema seguro.
Descargar IE PassView desde NirSoft