کلمات عبور ذخیره شده شما در اینترنت اکسپلورر چه امنیتی دارند؟
http://www.gooyait.com/uploads/How-S...-Passwords.png
یکی از راØت ترین ابزارهای پیشنهادی مرورگر ها، قابلیت ذخیره Ùˆ یادآوری خودکار کلمه عبور شما هنگام ورود به یک سایت Ù…ÛŒ باشد. از آنجاییکه بسیاری از سایت ها نیاز به ثبت نام دارند Ùˆ کاملا آشکار است Ú©Ù‡ استÙاده از یک رمز عبور مشترک اشتباه بزرگی است، تقریبا وجود یک مدیریت رمز عبور ضروری است. بنابراین اگر شما کاربر اینترنت اکسپلورر بوده Ùˆ در پاسخ به مرورگر برای یادآوری رمز عبور خود جواب مثبت Ù…ÛŒ دهید، این اطلاعات Ú†Ù‡ امنیتی دارند؟
آنها کجا ذخیره می شوند؟
کلمات عبور در اینترنت اکسپلورر Û· در رجیستری سیستم ذخیره Ù…ÛŒ شوند (KEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2) Ùˆ با استÙاده از ØÙاظت اطلاعات API Ú©Ù‡ از رمزنگاری سه گانه DES بهره Ù…ÛŒ گیرد، کلمه عبور ورودی کاربر را رمز گذاری Ù…ÛŒ کند.
این اطلاعات چه امنیتی دارند؟
در زمان نگارش این مقاله، DES سه گانه در مقابل تمامی روش های Ù†Ùوذ عملا شکست ناپذیر Ù…ÛŒ باشد. با این Øال هنگامیکه شما وارد Øساب کاربری ویندوز جایی Ú©Ù‡ اطلاعات کلمه عبور ذخیره Ù…ÛŒ شوند، شده اید ویندوز Ùرض کرده است Ú©Ù‡ ورود به آن برای دسترسی به این اطلاعات امن Ù…ÛŒ باشد Ùˆ براستی نیازی به نیروهای Ù†Ùوذی در رمزنگاری نیست. یکی از نتایج عدم استÙاده اینترنت اکسپلورر از رمز عبور جامع (مشابه آنچه ÙایرÙاکس ارائه Ù…ÛŒ کند) برای ØÙاظت از رمزهای عبور ذخیره شده، رمز عبور کاربری ویندوز کلید رمزگشایی سه گانه DES Ù…ÛŒ باشد.
نگران نباشید، اگر Ù…ÛŒ توانید با Øساب Ùˆ رمز عبور وارد ویندوز شوید، Ù…ÛŒ توانید رمزهای عبور ذخیره شده مرورگر را ببینید. شما با استÙاده از یک برنامه رایگان موجود مثل NirSoft’s IE Ù…ÛŒ توانید هر مورد از رمزهای عبور ذخیره شده در اینترنت اکسپلورر را مشاهده کنید.
آیا نرم اÙزارهای مخرب به آن دسترسی دارند؟
پس از اینکه دانستید دریاÙت این اطلاعات آسان Ù…ÛŒ باشد، سوال منطقی بعدی این است Ú©Ù‡ نرم اÙزارهای مخرب Ù…ÛŒ توانند براØتی به این اطلاعات دسترسی پیدا کنند یا خیر؟ من یک توسعه دهنده نرم اÙزارهای مخرب نیستم اما دلیلی هم نمی بینم Ú©Ù‡ این نرم اÙزارها نتوانند چنین کاری بکنند. اگر من با استÙاده از Virus Total برنامه IE PassView را پویش کنم، Ù…ÛŒ بینید Ú©Ù‡ %ÛµÛµ پویشگرهایی (اسکنرها) Ú©Ù‡ برای شناسایی مورد استÙاده قرار Ù…ÛŒ گیرند، نرم اÙزار مخرب هستند (Ú©Ù‡ یکی از الزامات امنیتی است).
درØالیکه از نظر ما نتیجه مثبت کاذب است، این مورد نشان Ù…ÛŒ دهد Ú©Ù‡ دسترسی به این اطلاعات غیر قابل تشخیص برای یک نرم اÙزار مخرب Øتی زمانیکه سیستم در Øال اجرای یک ضد ویروس است امکان پذیر Ù…ÛŒ باشد. علاوه بر این، از آنجاییکه اطلاعات رمز گذاری شده مخصوص کاربر Ù…ÛŒ باشد هیچ اخطار UAC توسظ نرم اÙزاری Ú©Ù‡ در تلاش برای دسترسی به این اطلاعات Ù…ÛŒ باشد، داده نمی شود. قبل از آنکه با خود بیاندیشید این یک نقص در سیستم عامل است، بدانید این تنها راه موجود Ù…ÛŒ باشد در غیر اینصورت اینترنت اکسپلورر Ùˆ یک میزبان دیگر از سایر برنامه های کاربردی ویندوز Ú©Ù‡ از ذخیره سازی ØÙاظت شده استÙاده Ù…ÛŒ کنند با هربار باز کردن یک اخطار UAC میدهند.
اگر کامپیوتر من دزدیده شود چه پیش می آید؟
پاسخ این است Ú©Ù‡ اطلاعات به اندازه رمز عبور کاربری ویندوز شما امنیت دارند. همانطور Ú©Ù‡ در بالا نشان دادیم هنگامیکه با استÙاده از رمز عبور مناسب وارد Ù…ÛŒ شوید، همه این اطلاعات براØتی قابل دسترسی Ù…ÛŒ باشند. اگر از هیچ رمز عبوری استÙاده نکنید، هیچ ØÙاظتی هم نخواهید داشت.
من برای آنکه این موضوع را یک قدم به جلو پیش ببریم، رمز عبور کاربری را مجددا تنظیم کردم تا ببینم هنگامیکه رمز عبور خارج ار Ù…Øیط ویندوز تغییر Ù…ÛŒ کند Ú†Ù‡ اتÙاقی Ù…ÛŒ اÙتد؟ پس از تنظیم مجدد من یک رمز عبور جدید برای آدرس جی میل (blah@) ذخیره کردم Ùˆ IE PassView را اجرا نمودم. من قادر به دیدن نام کاربری قبلی (myemail@) Ú©Ù‡ قبل از تنظیم مجدد رمز عبور ذخیره شده بود، بودم اما چون رمزهای عبور کاربری (برای مثال رمز عبور جامع) مورد استÙاده برای ذخیره اطلاعات متÙاوت هستند، قادر به رمزگشایی رمزعبور ذخیره شده اینترنت اکسپلورر تØت رمز عبور کاربری ویندوز قبلی نمی باشد. این واقعا چیز خوبی است.
نتیجه گیری
در پایان، امنیت رمز عبور ذخیره شده اینترنت اکسپلورر شما کاملا به خود کاربر بستگی دارد:
- از یک رمز عبور کاربری ویندوز بسیار قوی استÙاده کنید. بخاطر داشته باشید برنامه هایی وجود دارند Ú©Ù‡ Ù…ÛŒ توانند رمزهای عبور شما را کش٠کنند. اگرسی رمز عبور کاربری ویندوز شما را بدست آورد سپس به رمزهای عبور ذخیره شده اینترنت اکسپلورر شما نیز دسترسی خواهد داشت.
- از خودتان در مقابل نرم اÙزارهای مخرب Ù…ØاÙظت کنید. اگر برنامه ها به سادگی بتوانند به رمزهای عبور ذخیره شده شما دسترسی پیدا کنند چرا نرم اÙزارهای مخرب نتوانند؟
- کلمات عبور خود را در سیستم مدیریت رمز عبوری همچون KeePass ذخیره کنید. یقینا آسودگی داشتن مرورگر خود کاری Ú©Ù‡ کلمات عبور شما را بیاد Ù…ÛŒ آورد ØÙ„ کرده اید.
- از یک برنامه srd party Ú©Ù‡ با اینترنت اکسپلورر ادغام شده Ùˆ از یک رمز عبور جامع برای مدیریت رمزهای عبور شما بهره Ù…ÛŒ گیرد، استÙاده کنید.
- با استÙاده از TrueCrypt Ú©Ù„ هارد درایو خود را رمزگذاری کنید. این کاملا اختیاری Ùˆ برای Ù…ØاÙظت های اÙراطی Ù…ÛŒ باشد. اما اگر کسی نتواند درایو شما را رمزگذاری کند قطعا نمی تواند جیزی از آن بیرون بکشد.
قطعا این دو مورد بدون بیان کردن نیز پیش Ù…ÛŒ روند اما این Ùقط اهمیت گام برداشتن برای ØÙظ امنیت سیستم شما را تقویت Ù…ÛŒ کند.
منبع: howtogeek
http://www.gooyait.com/uploads/How-S...-Passwords.png
یکی از راØت ترین ابزارهای پیشنهادی مرورگر ها، قابلیت ذخیره Ùˆ یادآوری خودکار کلمه عبور شما هنگام ورود به یک سایت Ù…ÛŒ باشد. از آنجاییکه بسیاری از سایت ها نیاز به ثبت نام دارند Ùˆ کاملا آشکار است Ú©Ù‡ استÙاده از یک رمز عبور مشترک اشتباه بزرگی است، تقریبا وجود یک مدیریت رمز عبور ضروری است. بنابراین اگر شما کاربر اینترنت اکسپلورر بوده Ùˆ در پاسخ به مرورگر برای یادآوری رمز عبور خود جواب مثبت Ù…ÛŒ دهید، این اطلاعات Ú†Ù‡ امنیتی دارند؟
آنها کجا ذخیره می شوند؟
کلمات عبور در اینترنت اکسپلورر Û· در رجیستری سیستم ذخیره Ù…ÛŒ شوند (KEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2) Ùˆ با استÙاده از ØÙاظت اطلاعات API Ú©Ù‡ از رمزنگاری سه گانه DES بهره Ù…ÛŒ گیرد، کلمه عبور ورودی کاربر را رمز گذاری Ù…ÛŒ کند.
این اطلاعات چه امنیتی دارند؟
در زمان نگارش این مقاله، DES سه گانه در مقابل تمامی روش های Ù†Ùوذ عملا شکست ناپذیر Ù…ÛŒ باشد. با این Øال هنگامیکه شما وارد Øساب کاربری ویندوز جایی Ú©Ù‡ اطلاعات کلمه عبور ذخیره Ù…ÛŒ شوند، شده اید ویندوز Ùرض کرده است Ú©Ù‡ ورود به آن برای دسترسی به این اطلاعات امن Ù…ÛŒ باشد Ùˆ براستی نیازی به نیروهای Ù†Ùوذی در رمزنگاری نیست. یکی از نتایج عدم استÙاده اینترنت اکسپلورر از رمز عبور جامع (مشابه آنچه ÙایرÙاکس ارائه Ù…ÛŒ کند) برای ØÙاظت از رمزهای عبور ذخیره شده، رمز عبور کاربری ویندوز کلید رمزگشایی سه گانه DES Ù…ÛŒ باشد.
نگران نباشید، اگر Ù…ÛŒ توانید با Øساب Ùˆ رمز عبور وارد ویندوز شوید، Ù…ÛŒ توانید رمزهای عبور ذخیره شده مرورگر را ببینید. شما با استÙاده از یک برنامه رایگان موجود مثل NirSoft’s IE Ù…ÛŒ توانید هر مورد از رمزهای عبور ذخیره شده در اینترنت اکسپلورر را مشاهده کنید.
آیا نرم اÙزارهای مخرب به آن دسترسی دارند؟
پس از اینکه دانستید دریاÙت این اطلاعات آسان Ù…ÛŒ باشد، سوال منطقی بعدی این است Ú©Ù‡ نرم اÙزارهای مخرب Ù…ÛŒ توانند براØتی به این اطلاعات دسترسی پیدا کنند یا خیر؟ من یک توسعه دهنده نرم اÙزارهای مخرب نیستم اما دلیلی هم نمی بینم Ú©Ù‡ این نرم اÙزارها نتوانند چنین کاری بکنند. اگر من با استÙاده از Virus Total برنامه IE PassView را پویش کنم، Ù…ÛŒ بینید Ú©Ù‡ %ÛµÛµ پویشگرهایی (اسکنرها) Ú©Ù‡ برای شناسایی مورد استÙاده قرار Ù…ÛŒ گیرند، نرم اÙزار مخرب هستند (Ú©Ù‡ یکی از الزامات امنیتی است).
درØالیکه از نظر ما نتیجه مثبت کاذب است، این مورد نشان Ù…ÛŒ دهد Ú©Ù‡ دسترسی به این اطلاعات غیر قابل تشخیص برای یک نرم اÙزار مخرب Øتی زمانیکه سیستم در Øال اجرای یک ضد ویروس است امکان پذیر Ù…ÛŒ باشد. علاوه بر این، از آنجاییکه اطلاعات رمز گذاری شده مخصوص کاربر Ù…ÛŒ باشد هیچ اخطار UAC توسظ نرم اÙزاری Ú©Ù‡ در تلاش برای دسترسی به این اطلاعات Ù…ÛŒ باشد، داده نمی شود. قبل از آنکه با خود بیاندیشید این یک نقص در سیستم عامل است، بدانید این تنها راه موجود Ù…ÛŒ باشد در غیر اینصورت اینترنت اکسپلورر Ùˆ یک میزبان دیگر از سایر برنامه های کاربردی ویندوز Ú©Ù‡ از ذخیره سازی ØÙاظت شده استÙاده Ù…ÛŒ کنند با هربار باز کردن یک اخطار UAC میدهند.
اگر کامپیوتر من دزدیده شود چه پیش می آید؟
پاسخ این است Ú©Ù‡ اطلاعات به اندازه رمز عبور کاربری ویندوز شما امنیت دارند. همانطور Ú©Ù‡ در بالا نشان دادیم هنگامیکه با استÙاده از رمز عبور مناسب وارد Ù…ÛŒ شوید، همه این اطلاعات براØتی قابل دسترسی Ù…ÛŒ باشند. اگر از هیچ رمز عبوری استÙاده نکنید، هیچ ØÙاظتی هم نخواهید داشت.
من برای آنکه این موضوع را یک قدم به جلو پیش ببریم، رمز عبور کاربری را مجددا تنظیم کردم تا ببینم هنگامیکه رمز عبور خارج ار Ù…Øیط ویندوز تغییر Ù…ÛŒ کند Ú†Ù‡ اتÙاقی Ù…ÛŒ اÙتد؟ پس از تنظیم مجدد من یک رمز عبور جدید برای آدرس جی میل (blah@) ذخیره کردم Ùˆ IE PassView را اجرا نمودم. من قادر به دیدن نام کاربری قبلی (myemail@) Ú©Ù‡ قبل از تنظیم مجدد رمز عبور ذخیره شده بود، بودم اما چون رمزهای عبور کاربری (برای مثال رمز عبور جامع) مورد استÙاده برای ذخیره اطلاعات متÙاوت هستند، قادر به رمزگشایی رمزعبور ذخیره شده اینترنت اکسپلورر تØت رمز عبور کاربری ویندوز قبلی نمی باشد. این واقعا چیز خوبی است.
نتیجه گیری
در پایان، امنیت رمز عبور ذخیره شده اینترنت اکسپلورر شما کاملا به خود کاربر بستگی دارد:
- از یک رمز عبور کاربری ویندوز بسیار قوی استÙاده کنید. بخاطر داشته باشید برنامه هایی وجود دارند Ú©Ù‡ Ù…ÛŒ توانند رمزهای عبور شما را کش٠کنند. اگرسی رمز عبور کاربری ویندوز شما را بدست آورد سپس به رمزهای عبور ذخیره شده اینترنت اکسپلورر شما نیز دسترسی خواهد داشت.
- از خودتان در مقابل نرم اÙزارهای مخرب Ù…ØاÙظت کنید. اگر برنامه ها به سادگی بتوانند به رمزهای عبور ذخیره شده شما دسترسی پیدا کنند چرا نرم اÙزارهای مخرب نتوانند؟
- کلمات عبور خود را در سیستم مدیریت رمز عبوری همچون KeePass ذخیره کنید. یقینا آسودگی داشتن مرورگر خود کاری Ú©Ù‡ کلمات عبور شما را بیاد Ù…ÛŒ آورد ØÙ„ کرده اید.
- از یک برنامه srd party Ú©Ù‡ با اینترنت اکسپلورر ادغام شده Ùˆ از یک رمز عبور جامع برای مدیریت رمزهای عبور شما بهره Ù…ÛŒ گیرد، استÙاده کنید.
- با استÙاده از TrueCrypt Ú©Ù„ هارد درایو خود را رمزگذاری کنید. این کاملا اختیاری Ùˆ برای Ù…ØاÙظت های اÙراطی Ù…ÛŒ باشد. اما اگر کسی نتواند درایو شما را رمزگذاری کند قطعا نمی تواند جیزی از آن بیرون بکشد.
قطعا این دو مورد بدون بیان کردن نیز پیش Ù…ÛŒ روند اما این Ùقط اهمیت گام برداشتن برای ØÙظ امنیت سیستم شما را تقویت Ù…ÛŒ کند.
منبع: howtogeek