Reklamodawcy znaleźli nowy sposób śledzenia Ciebie. Według Freedom to Tinker, kilka sieci reklamowych nadużywa teraz skryptów śledzenia do przechwytywania adresów e-mail, które twój menedżer haseł automatycznie wypełnia na stronach internetowych.
Ale robi się coraz gorzej: mogliby użyć tej technologii do przechwytywania swoich haseł, gdyby chcieli. Wpływa to na wszystkich korzystających z menedżera haseł, niezależnie od tego, czy jest to wbudowany menedżer haseł, taki jak ten w przeglądarce Chrome, Firefox lub Edge, czy rozszerzenie przeglądarki takie jak LastPass. W związku z tym prawdopodobnie należy wyłączyć funkcję autouzupełniania, aby temu zapobiec.
Po zapisaniu nazwy użytkownika i hasła na stronie internetowej menedżer haseł je zapamiętuje. Od tego momentu będzie próbował automatycznie wpisać je w pola nazwy użytkownika i hasła, które widzi na tej stronie. Dzięki temu logowanie jest szybsze, ponieważ wystarczy kliknąć "Zaloguj się".
Ale niektóre skrypty reklamowe firm zewnętrznych - te, których używa prawie każda strona internetowa - zaczynają je wykorzystywać do śledzenia. Działają w tle, tworzą fałszywe pola logowania i hasła, których nawet nie widać, i przechwytują poświadczenia, które wpisuje do nich menedżer haseł.
Możesz samemu zobaczyć ten problem, odwiedzając tę stronę demonstracyjną. Wpisz fałszywy adres e-mail i hasło, a zostaniesz poproszony o zapisanie go w menedżerze haseł przeglądarki. Kontynuuj, a zostanie on automatycznie wypełniony w tle, a skrypt przechwyci adres e-mail i hasło.
Ta witryna demonstracyjna nie wykazuje obecnie żadnego problemu, jeśli używasz LastPass, ale wszystko, co automatycznie wypełnia nazwy użytkownika i hasła bez interwencji użytkownika - włącznie z LastPass - jest teoretycznie podatne na ataki.
Ten problem pokazuje, jak ważne jest używanie unikalnych haseł na każdej stronie. To nie jest tylko teoretyczny atak - jest on obecnie wykorzystywany przez reklamodawców na 1110 najpopularniejszych witrynach internetowych, według Freedom to Tinker. Reklamodawcy używają obecnie tej techniki do przechwytywania nazw użytkowników i adresów e-mail, ale nic nie powstrzyma ich przed przechwytywaniem haseł, jeśli pewnego dnia pojawi się wyjątkowo nikczemny nastrój.
Jeśli reklamodawca zarejestrował Twoje hasło w witrynie, najgorszą osobą, która może to zrobić, jest zalogowanie się w tej witrynie. To nie jest idealne, ale nie jest to najgorsze, co może się zdarzyć. jeśli użyjesz tego samego hasła do tej strony, co w przypadku konta e-mail, ta osoba będzie mogła uzyskać dostęp do konta e-mail i użyć go do uzyskania dostępu do innych kont. To jest najgorsze, co może się zdarzyć.
Dlatego nadal zalecamy korzystanie z menedżera haseł, bez względu na wszystko. Przy wszystkich różnych kontach przeciętnej osoby w Internecie i częstotliwości ataków na te witryny, konieczne jest użycie unikalnego hasła dla każdej odwiedzanej witryny. Najlepszym sposobem na to jest menedżer haseł - nie wyrzucaj dziecka z kąpielą.
Jednak nadal można zmniejszyć część ryzyka związanego z tymi skryptami, wyłączając automatyczne wypełnianie w menedżerze haseł. Na przykład, jeśli używasz LastPass (który nie ma aktualnie wpływu na te skrypty, ale teoretycznie może być), funkcja autouzupełniania wypełnia pola logowania danymi uwierzytelniającymi, dzięki czemu możesz kliknąć "Zaloguj się". Jeśli wyłączysz funkcję autouzupełniania, musisz kliknąć ikonę LastPass w polu hasła i kliknąć swoją nazwę użytkownika, aby wypełnić zapisane informacje. Będziesz to robić tylko przy próbie zalogowania się, więc powinno to ochronić twoje dane uwierzytelniające przed pobraniem. Nie rozpylasz ich już po każdej stronie.
Można również po prostu skopiować i wkleić nazwy użytkowników i hasła z wybranego menedżera haseł, co zwiększyłoby bezpieczeństwo, ale znacznie mniej wygodne. Sądzimy, że wybór ręcznego zainicjowania autouzupełniania tylko na stronach logowania powinien być dobrym pośrednikiem między bezpieczeństwem a wygodą. Jeśli te strony logowania zostały naruszone przez taki skrypt, to i tak nic nie mogłoby ci pomóc - skrypt mógłby odczytać twoje dane logowania, nawet jeśli skopiowałeś i wkleiłeś lub ręcznie wpisałeś je.
Niestety większość menedżerów haseł w przeglądarkach nie pozwala na wyłączenie autouzupełniania. Nie ma możliwości wyłączenia funkcji autouzupełniania, jeśli korzystasz na przykład ze zintegrowanego menedżera haseł w Google Chrome lub Microsoft Edge. Chrome ma opcję wyłączania autouzupełniania, ale wyłącza tylko automatyczne uzupełnianie danych, takich jak adresy i numery telefonów, a nie hasła. Istnieje opcja wyłączania automatycznego wypełniania haseł w menedżerze haseł Mozilli Firefox, ale jest ona ukryta w około: config.
Jeśli korzystasz z wbudowanego menedżera haseł w Chrome lub Edge, zachęcamy do przejścia na menedżera haseł innej firmy, który oferuje większą kontrolę, np. LastPass lub 1Password. 1Hasło nie ma wpływu na ten problem, ponieważ nie obejmuje funkcji automatycznego uzupełniania.
W LastPass możesz wyłączyć autouzupełnianie, klikając przycisk rozszerzenia LastPass na pasku narzędzi przeglądarki i klikając "Preferencje". Odznacz opcję "Automatycznie wypełnij dane logowania" w obszarze Ogólne, a następnie kliknij przycisk "Zapisz", aby zapisać zmiany.
Jeśli chcesz nadal korzystać z Menedżera haseł Firefoksa, wpisz "about: config" w pasku adresu przeglądarki Firefox i naciśnij Enter. Zobaczysz ekran z ostrzeżeniem informujący, że zmiana różnych ustawień może spowodować problemy. Nie martw się - jeśli po prostu zmienisz pojedyncze ustawienie, które wskażemy, wszystko będzie dobrze. Kliknij "Akceptuję ryzyko!", Aby kontynuować.
Wpisz "autofillForms" w polu wyszukiwania i kliknij dwukrotnie opcję "signon.autofillForms", aby ustawić ją na "false". Firefox nie będzie już automatycznie wypełniać nazw użytkowników i haseł bez Twojej zgody.
Jeśli używasz innego menedżera haseł, otwórz jego preferencje i wyłącz opcję automatycznego uzupełniania lub automatycznego uzupełniania, aby menedżer haseł nie ujawniał danych osobowych.
Twórcy przeglądarek i menedżerów haseł muszą przemyśleć menedżerów haseł, aby zwiększyć ich bezpieczeństwo. Nie powinni próbować automatycznie wypełniać danych logowania na każdej stronie odwiedzanej w określonej witrynie. To tylko proszenie o kłopoty. Ale na razie możesz wyłączyć autouzupełnianie, aby zwiększyć bezpieczeństwo.
Image Credit: vladwei / Shutterstock.com.
