Una de las herramientas más convenientes que ofrecen los navegadores es la capacidad de guardar y completar automáticamente sus contraseñas en los formularios de inicio de sesión. Debido a que muchos sitios requieren cuentas y es bien sabido (o al menos debería serlo) que usar una contraseña compartida es un gran no-no, un administrador de contraseñas es casi esencial. Entonces, si usted es un usuario de IE y responde “sí” para permitir que el navegador recuerde su contraseña, ¿qué tan segura es esta información?
¿Dónde se salvan?
A partir de Internet Explorer 7, las contraseñas se almacenan en el registro del sistema (KEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2) y se cifran con la contraseña de inicio de sesión del usuario de Windows mediante la API de protección de datos que utiliza cifrado Triple DES.
¿Qué tan seguros son estos datos?
En el momento de escribir este artículo, Triple DES es prácticamente irrompible mediante métodos de fuerza bruta. Sin embargo, realmente no es necesario forzar el cifrado por fuerza bruta una vez que haya iniciado sesión en la cuenta de Windows donde se almacenan los datos de su contraseña, ya que Windows asume que una vez que haya iniciado sesión, es seguro que las aplicaciones accedan a estos datos. Como resultado de que IE no utiliza una contraseña maestra (como la que ofrece Firefox) para proteger sus contraseñas guardadas, la contraseña de la cuenta de Windows respectiva es la clave de descifrado Triple DES. En pocas palabras, si puede iniciar sesión en Windows con la cuenta y la contraseña, podrá ver las contraseñas guardadas del navegador. Utilizando una utilidad disponible gratuitamente como IE PassView de NirSoft, puede ver y exportar cada contraseña de IE guardada.
Entonces, ¿puede el malware acceder a esto?
Después de ver lo fácil que es acceder a estos datos, la siguiente pregunta lógica es: ¿puede el malware acceder fácilmente a estos datos? No soy un desarrollador de malware, pero no veo ninguna razón para que no pueda hacerlo. Si escaneo la utilidad IE PassView usando Virus Total, puedes ver El 55% de los escáneres que utilizan detectan que es malware (uno de los cuales es Security Essentials).
Si bien en nuestro caso el resultado es un falso positivo, esto muestra que es posible que un malware acceda a estos datos sin ser detectado incluso cuando el sistema ejecuta un antivirus. Además, debido a que los datos cifrados son específicos del usuario, una aplicación que intente acceder a estos datos no activará ningún mensaje de UAC. Antes de pensar que esto es una falla en el sistema operativo, así es como tiene que ser; de lo contrario, IE y una serie de otras aplicaciones de Windows que utilizan el almacenamiento protegido activarían un mensaje de UAC cada vez que se abrieran.
¿Qué pasa si me roban mi computadora?
La respuesta simple es que estos datos son tan seguros como la contraseña de su cuenta de Windows. Como hemos mostrado anteriormente, cuando inicia sesión en la cuenta con la contraseña adecuada, se puede acceder fácilmente a todos estos datos. Si no utiliza contraseña, no tiene protección. Para llevar esto un paso más allá, restablecí la contraseña de la cuenta para ver qué sucedería cuando la contraseña se cambiara a la fuerza fuera de Windows. Después del reinicio, guardé una nueva contraseña de dirección de Gmail (blah@) y ejecuté IE PassView. Pude ver el nombre de usuario anterior (micorreo@) que se guardó antes de restablecer la contraseña, pero debido a que las contraseñas de la cuenta (es decir, “contraseña maestra”) utilizadas para guardar los datos son diferentes, no pude descifrar el IE. contraseña guardada con la contraseña anterior de la cuenta de Windows. Definitivamente esto es algo bueno.
Conclusión
Al final del día, la seguridad de sus contraseñas guardadas en IE depende totalmente del usuario:
Por supuesto, ambas cosas son evidentes, pero esto sólo refuerza la importancia de tomar medidas para mantener su sistema seguro. Descargue IE PassView de NirSoft