您儲存的internet explorer密碼有多安全？

瀏覽器提供的最方便的工具之一是儲存並自動在登入表單上預先填充密碼。因為如此多的網站需要帳戶，而且眾所周知（或者至少應該是這樣）使用共享密碼是一個很大的禁忌，所以密碼管理器幾乎是必不可少的。...

瀏覽器提供的最方便的工具之一是儲存並自動在登入表單上預先填充密碼。因為如此多的網站需要帳戶，而且眾所周知（或者至少應該是這樣）使用共享密碼是一個很大的禁忌，所以密碼管理器幾乎是必不可少的。

因此，如果您是IE使用者並回答“是”以允許瀏覽器記住您的密碼，那麼此資訊的安全性如何？

他們在哪裡得救？

從Internet Explorer 7開始，密碼儲存在系統登錄檔中（金鑰\u CURRENT\USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2），並使用使用三重DES加密的資料保護API加密Windows使用者的登入密碼。

這些資料有多安全？

在本文撰寫時，三重DES實際上是不可透過暴力方法無法破解的。但是，當您登入到Windows帳戶時，您就不需要強制加密，因為Windows儲存密碼資料時，假設一旦登入，應用程式訪問此資料是安全的。由於IE沒有使用主密碼（如Firefox提供的）來保護其儲存的密碼，因此相應的Windows帳戶密碼是三重DES解密金鑰。

簡單地說，如果您可以使用帳戶和密碼登入到Windows，就可以看到儲存的瀏覽器密碼。使用免費提供的工具，如NirSoft的IE PassView，您可以檢視和匯出每個儲存的IE密碼。

那麼惡意軟體可以訪問這個嗎？

在看到獲取這些資料有多麼容易之後，下一個邏輯問題是惡意軟體能否輕鬆獲取這些資料。我不是一個惡意軟體開發人員，但我不認為有任何理由它不能。如果我用Virus Total掃描IE PassView實用程式，你可以看到55%的掃描程式檢測到它是惡意軟體（其中之一是Security Essentials）。

在我們的例子中，結果是假陽性，這表明即使系統執行反病毒，一個惡意軟體也有可能訪問未被檢測到的資料。此外，由於加密資料是使用者特定的，因此嘗試訪問此資料的應用程式不會觸發UAC提示。在認為這是作業系統中的缺陷之前，這實際上就是它必須是IE的方式，而使用受保護儲存的其他Windows應用程式的主機每次開啟時都會觸發UAC提示。

如果我的電腦被偷了怎麼辦？

簡單的答案是，這些資料與您的Windows帳戶密碼一樣安全。如上所示，當您使用適當的密碼登入到帳戶時，所有這些資料都很容易訪問。如果你沒有使用密碼，你就沒有保護。

為了更進一步，我重置了帳戶密碼，以檢視在Windows之外強制更改密碼時會發生什麼情況。重置後，我儲存了一個新的Gmail地址密碼（blah@），並執行IE PassView。我可以看到以前的使用者名稱（myemail@），它是在重置密碼之前儲存的，但是由於用於儲存資料的帳戶密碼（即“主密碼”）不同，因此無法解密以前的Windows帳戶密碼下儲存的IE密碼。這絕對是件好事。