Powinieneś wyłączyć funkcję autouzupełniania w Menedżerze haseł
Reklamodawcy znaleźli nowy sposób śledzenia Ciebie. Według Freedom to Tinker, kilka sieci reklamowych nadużywa teraz skryptów śledzenia do przechwytywania adresów e-mail, które Twój menedżer haseł wypełnia automatycznie na stronach internetowych.
Ale robi się coraz gorzej: mogliby użyć tej technologii do przechwycenia twoich haseł, gdyby chcieli. Ma to wpływ na wszystkich korzystających z menedżera haseł, niezależnie od tego, czy jest to wbudowany menedżer haseł, taki jak ten w przeglądarce Chrome, Firefox lub Edge, czy rozszerzenie przeglądarki, takie jak LastPass. W związku z tym prawdopodobnie należy wyłączyć funkcję autouzupełniania, aby temu zapobiec.
Jak automatyczne wypełnianie Twoich informacji
Po zapisaniu nazwy użytkownika i hasła na stronie internetowej menedżer haseł je zapamiętuje. Od tego momentu będzie próbował automatycznie wpisać je w pola nazwy użytkownika i hasła, które widzi na tej stronie. Dzięki temu logowanie jest szybsze, ponieważ wystarczy kliknąć "Zaloguj się".
Ale niektóre skrypty reklamowe firm zewnętrznych - te, których używa prawie każda strona internetowa - zaczynają je wykorzystywać do śledzenia. Działają w tle, tworzą fałszywe pola logowania i hasła, których nawet nie widać, i przechwytują poświadczenia, które wpisuje do nich menedżer haseł..
Możesz samemu zobaczyć ten problem, odwiedzając tę stronę demonstracyjną. Wpisz fałszywy adres e-mail i hasło, a zostaniesz poproszony o zapisanie go w menedżerze haseł przeglądarki. Kontynuuj, a zostanie on automatycznie wypełniony w tle, a skrypt przechwyci adres e-mail i hasło.
Ta witryna demonstracyjna nie wykazuje obecnie żadnego problemu, jeśli używasz LastPass, ale wszystko, co automatycznie napełnia nazwy użytkownika i hasła bez interwencji użytkownika - w zestawie LastPass - jest teoretycznie bezbronne.
Potrzebujesz wyjątkowych haseł wszędzie, więc menedżerowie haseł są nadal niezbędni
Ten problem pokazuje, jak ważne jest używanie unikalnych haseł na każdej stronie. To nie jest tylko teoretyczny atak - jest on obecnie wykorzystywany przez reklamodawców na 1110 najpopularniejszych witrynach internetowych, według Freedom to Tinker. Reklamodawcy używają obecnie tej techniki do przechwytywania nazw użytkowników i adresów e-mail, ale nic nie powstrzyma ich przed przechwytywaniem haseł, jeśli pewnego dnia pojawi się wyjątkowo nikczemny nastrój.
Jeśli reklamodawca zarejestrował Twoje hasło w witrynie, najgorszą osobą, która może to zrobić, jest zalogowanie się w tej witrynie. To nie jest idealne, ale nie jest to najgorsza rzecz, jaka może się zdarzyć. jeśli użyjesz tego samego hasła do tej strony, co robisz dla swojego konta e-mail, ta osoba będzie mogła uzyskać dostęp do Twojego konta e-mail i użyć go do uzyskania dostępu do innych kont. To jest najgorsze, co może się zdarzyć.
Dlatego nadal zalecamy korzystanie z menedżera haseł, bez względu na wszystko. Przy wszystkich różnych kontach przeciętnej osoby w Internecie i częstotliwości ataków na te witryny, konieczne jest użycie unikalnego hasła dla każdej odwiedzanej witryny. Najlepszym sposobem na zrobienie tego jest menedżer haseł - nie wyrzucaj dziecka z kąpielą.
Chroń się, wyłączając funkcję autouzupełniania
Jednak nadal możesz zmniejszyć część ryzyka związanego z tymi skryptami, wyłączając automatyczne wypełnianie w menedżerze haseł. Na przykład, jeśli używasz LastPass (który obecnie nie ma wpływu na te skrypty, ale teoretycznie może być), funkcja autouzupełniania wypełnia pola logowania danymi uwierzytelniającymi, dzięki czemu możesz kliknąć "Zaloguj się". Jeśli wyłączysz funkcję autouzupełniania, musisz kliknąć ikonę LastPass w polu hasła i kliknąć swoją nazwę użytkownika, aby wypełnić zapisane informacje. Będziesz to robić tylko przy próbie zalogowania się, więc powinno to ochronić twoje dane uwierzytelniające przed pobraniem. Nie rozpylasz ich już po każdej stronie.
Można również po prostu skopiować i wkleić nazwy użytkowników i hasła z wybranego menedżera haseł, co zwiększyłoby bezpieczeństwo, ale znacznie mniej wygodne. Uważamy, że wybór ręcznego zainicjowania autouzupełniania tylko na stronach logowania powinien być dobrym pośrednikiem między bezpieczeństwem a wygodą. Jeśli te strony logowania zostały naruszone przez taki skrypt, to i tak nic nie mogłoby ci pomóc - skrypt mógłby odczytać twoje dane logowania, nawet jeśli skopiowałeś i wkleiłeś lub ręcznie wpisałeś je.
Niestety większość menedżerów haseł w przeglądarkach nie pozwala na wyłączenie autouzupełniania. Nie ma możliwości wyłączenia funkcji autouzupełniania, jeśli korzystasz na przykład ze zintegrowanego menedżera haseł w Google Chrome lub Microsoft Edge. Chrome ma opcję wyłączania autouzupełniania, ale wyłącza tylko automatyczne uzupełnianie danych, takich jak adresy i numery telefonów, a nie hasła. Istnieje opcja wyłączania automatycznego wypełniania haseł w menedżerze haseł Mozilla Firefox, ale jest ukryta w około: config.
Jeśli używasz wbudowanego menedżera haseł w Chrome lub Edge, zachęcamy do przejścia na menedżera haseł innej firmy, który oferuje większą kontrolę, np. LastPass lub 1Password. Problem ten nie dotyczy 1 Hasła, ponieważ nie zawiera funkcji automatycznego uzupełniania.
W LastPass możesz wyłączyć autouzupełnianie, klikając przycisk rozszerzenia LastPass na pasku narzędzi przeglądarki i klikając "Preferencje". Odznacz opcję "Automatycznie wypełnij dane logowania" w obszarze Ogólne, a następnie kliknij przycisk "Zapisz", aby zapisać zmiany.
Jeśli chcesz nadal korzystać z Menedżera haseł Firefoksa, wpisz "about: config" w pasku adresu przeglądarki Firefox i naciśnij Enter. Zostanie wyświetlony ekran z ostrzeżeniem informujący, że zmiana różnych ustawień może spowodować problemy. Nie martw się - jeśli po prostu zmienisz pojedyncze ustawienie, które wskażemy, wszystko będzie dobrze. Kliknij "Akceptuję ryzyko!", Aby kontynuować.
Wpisz "autofillForms" w polu wyszukiwania i kliknij dwukrotnie opcję "signon.autofillForms", aby ustawić ją na "false". Firefox nie będzie już automatycznie wypełniać nazw użytkowników i haseł bez Twojej zgody.
Jeśli korzystasz z innego menedżera haseł, otwórz jego preferencje i wyłącz opcję automatycznego uzupełniania lub automatycznego uzupełniania, aby upewnić się, że menedżer haseł nie ujawni Twoich danych osobistych..
Twórcy przeglądarek i menedżerów haseł muszą przemyśleć menedżerów haseł, aby zwiększyć ich bezpieczeństwo. Nie powinni próbować automatycznie wypełniać danych logowania na każdej stronie odwiedzanej w określonej witrynie. To tylko proszenie o kłopoty. Ale na razie możesz wyłączyć autouzupełnianie, aby zwiększyć bezpieczeństwo.
Image Credit: vladwei / Shutterstock.com.