Một trong những điều tiện lợi nhất mà công cụ trình duyệt mang lại đó là khả năng tự động lưu trữ mật khẩu người dùng trên các form đăng nhập. Bởi nhiều trang web yêu cầu bạn phải có tài khoản trên đó và cần “login” trước khi có thể sử dụng các tiện ích của họ.
Vậy với người dùng trình duyệt IE của Microsoft và ấn “Yes” để cho phép trình duyệt này ghi nhớ mật khẩu của mình thì làm thế nào để bảo bệ những thông tin đó được an toàn?
Ở bài viết trước chúng tôi đã giới thiệu tới các bạn cơ chế bảo mật Passwords đã lưu trên Google Chrome. Hôm nay chúng tôi tiếp tục hướng dẫn các bạn cơ chế này trên trình duyệt Internet Explorer qua một số vấn đề chính.
Thông tin được lưu lại ở đâu?
Bắt đầu từ Internet Explorer 7, password được lưu giữ trong hệ thống registry (KEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerIntelliFormsStorage2) và chống lại việc các user khác đăng nhập vào Windows có thể sử dụng được mật khẩu này bằng Data Protection API với kỹ thuật mã hóa Triple DES.
Những dữ liệu này có được bảo vệ?
Cho đến hiện tại, Triple DES vẫn chưa có cách phá vỡ bởi bất kỳ thuật toán nào từ bên ngoài. Tuy nhiên, khi bạn đã đăng nhập được vào Windows thì cơ chế này không còn được an toàn như trước. Nơi mà dữ liệu mật khẩu được lưu trữ sẽ bị giả định rằng đây là môi trường an toàn và cho phép các ứng dụng có thể truy cập vào.
Giống như kết quả của việc IE không sử dụng master password (như những gì Firefox cung cấp) để bảo vệ các mật khẩu đã lưu, lúc này password để vào tài khoản của Windows tương ứng chính là chìa khóa để giải mã Triple DES.
Đơn giản là nếu bạn đăng nhập vào Windows với tài khoản và mật khẩu thành công, bạn có thể save password trên trình duyệt. Bằng cách sử dụng một tiện ích có sẵn của NirSoft có tên IE PassView, bạn có thể xem và export tất cả các mật khẩu mà IE đã lưu.
Malware có thể truy cập vào vùng dữ liệu này?
Sau khi bạn có thể dễ dàng xem được những dữ liệu dạng password này, câu hỏi tiếp theo được đặt ra là liệu những phần mềm độc hại cũng có thể xâm nhập để xem chúng? Không có lý do gì là không thể cho câu hỏi này. Nếu bạn sử dụng Virus Total để quét tiện ích IE PassView, bạn sẽ thấy có tới hơn 55% máy quét phát hiện đây là phần mềm độc hại (trong đó có Security Essentials).
Tuy nhiên có trường hợp tiện ích này vẫn được phép hoạt động ngay cả khi bạn đã cài phần mềm anti-virus, có nghĩa là các phần mềm độc hại khác vẫn có thể xâm nhập mà không bị phát hiện. Ngoài ra, bởi do các dữ liệu được mã hóa cũng sẽ không bị cảnh báo bởi UAC khi nó bị truy cập.
Trường hợp máy tính bị đánh cắp
Những dữ liệu này được bảo mật giống như mật khẩu của tài khoản Windows. Nếu người nào đó đăng nhập được vào trong Windows bằng tài khoản thì tất cả các dữ liệu đều có thể bị truy cập dễ dàng. Nếu bạn không có mật khẩu đồng nghĩa với việc bạn không được bảo vệ.
Thử nghiệm bằng việc reset lại password của Windows, sau đó chúng tôi tiến hành lưu trữ mật khẩu của tài khoản Gmail (blah@gmail.com). Tiếp theo sử dụng tiện ích IE PassView để kiểm tra. Kết quả cho thấy chỉ có thể xem được password vừa lưu lại, còn những tài khoản khác đã lưu trước đó (myemail@gmail.com) vẫn được bảo vệ an toàn. Nguyên nhân là do master password được sử dụng để lưu trữ các dữ liệu khác nhau, nó không thể giải mã toàn bộ mật khẩu được lưu trước đó trong IE.
Kết luận
- Cũng như những lưu ý đối với Google Chrome, việc bảo mật cho trình duyệt IE là do chính người sử dụng thiết lập.
- Sử dụng mật khẩu thật mạnh cho tài khoản Windows. Hãy nhớ rằng có những tiện ích có thể giải mã mật khẩu Windows, nếu ai đó có được mật khẩu này họ sẽ có quyền truy cập vào mật khẩu lưu trên trình duyệt của bạn.
- Tự bảo về mình khỏi những phần mềm độc hại. Nếu tiện ích nào đó có thể dễ dàng truy cập vào mật khẩu đã lưu, vậy tại sao các phần mềm độc hại lại không thể?
- Lưu trữ mật khẩu của mình trên hệ thống quản lý mật khẩu như KeePass. Tất nhiên bạn sẽ mất đi sự tiện lợi khi trình duyệt tự động điền giúp những mật khẩu này.
- Sử dụng một tiện ích của bên thứ ba có tích hợp với IE và sử dụng một mật khẩu chính để quản lý.
- Mã hóa toàn bộ ổ đĩa cứng bằng ứng dụng như TrueCrypt. Đây là giải pháp “siêu bảo vệ” cho toàn bộ dữ liệu của bạn.
M.N (Quantrimang)