På Black Hat-konferencen i Las Vegas i sidste uge kunne et hold sikkerhedseksperter demonstrere hvordan man kan knække den indbyggede kryptering i Windows og få fat i alle kodeord der er gemt til websteder som Amazon, Google, Facebook eller Hotmail.
Hvis din computer bliver stjålet kan du altså risikere at tyven kan få fat i alle de kodeord som browsere og andre programmer som instant messenger-klienter har gemt på computeren.
”Det er ikke kun data på din computer, men alt hvad du har i skyen, som din Facebook konto, din Gmail konto og så videre,” siger sikkerheds-forsker Elie Bursztien fra Stanford University til CNET.
Forskerne har udgivet deres eget open source-værktøj som knækker krypteringen, kaldet OWADE (Offline Windows Analyzer and Data Extractor). Det kører under Ubuntu Linux og skulle være i stand til at hente kodeord gemt af de fire mest brugte browsere og instant messaging-klienter under Windows XP.
Der er en indbygget krypteringsfunktion i Windows kaldet DPAPI, som applikations-udviklere kan bruge til at gemme følsomme data i kodet form. Softwareudvikleren behøver altså ikke indbygge sin egen krypteringsfunktion, men kan blot bruge Microsofts API (Application Programming Interface).
Det er en smart funktion – hvis den ellers virker. For nu viser det sig, at der er en række grundlæggende svagheder i denne funktion. Der er også problemer med den måde Windows gemmer kodeord til trådløse netværk.
De forskellige browsere har hver deres egen metode til at gemme kodeord, hvor nogle tilføjer deres egen sikkerhed ud over DPAPI, og her ser det ud til at Firefox er den mest sårbare, mens Internet Explorer er den mest sikre, fortæller forskerne.
Når det gælder kommunikations-programmer har Skype en ”ekstrem” sikkerhed, mens MSN, Trillian og Pidgin klarer sig dårligere.
Forskerne anbefaler at kryptere harddisken hvis man vil være helt sikker, og Microsoft anbefaler da også i en kommentar at man bør bruge BitLocker-værktøjet.