14Aug
Reklaamijad on leidnud uue teekonna leidmise viisi. Vastavalt Tinkeri vabale reeglitele rikuvad mõned reklaamivõrgud nüüd jälgimisskripte, et lüüa e-posti aadressid, mida paroolijuht veebisaitidel automaatselt täidab.
Aga see läheb hullemaks: nad võivad seda tehnoloogiat oma paroolide salvestamiseks ka soovi korral kasutada. See mõjutab kõiki, kes kasutavad salasõnade haldurit, olenemata sellest, kas see on sisseehitatud paroolijuht, nagu näiteks Chrome'i, Firefoxi või Edge'i või brauseri laiendus nagu LastPass. Selle tulemusel peaksite automaatse täitmise funktsiooni automaatselt keelama, et seda ei saaks.
Kui teie teabe lekib automaatne täitmine
Kui salvestate oma kasutajanime ja parooli veebisaidil, salvestab see salasõnahaldur. Sellest hetkest alates üritab ta automaatselt neid sisestada kasutajanime ja paroolide kastides, mida see veebisaidil näeb. See muudab kiiremini sisselogimise, kuna peate lihtsalt klõpsama "Logi sisse".
Kuid mõned kolmanda osapoole reklaamisskriptid - need, mida peaaegu iga veebisait kasutab - hakkavad neid kasutama teie jälgimiseks. Nad töötavad taustal, loovad võltsitud sisselogimisandmed ja parooliaknaid, mida te isegi ei näe, ja lööb teie paroolijuhi täidetavad mandaadid.
Saate seda probleemi ise näha, külastades seda tutvustamislehte. Sisestage võltsitud e-posti aadress ja parool ning teil palutakse see salvestada brauseri paroolijuhina. Jätkake ja taastatakse automaatselt taustal koos e-posti aadressi ja parooliga hõivatud skriptiga.
See demonstratsioonikoht ei näita praegu LastPassi kasutamisel mingit probleemi, kuid see, mis automaatselt täidab kasutajanime ja paroole ilma kasutaja sekkumiseta - LastPass on lisatud, on teoreetiliselt haavatav.
vajab kõikjal unikaalseid paroole, nii et paroolijuhid on endiselt olulised
See probleem näitab, kui oluline on kasutada igale veebisaidile ainulaadseid paroole. See ei ole lihtsalt teoreetiline rünnak - seda reklaamijad kasutavad praegu veebisaidi "Vabadus Tinker" sõnul praegu 1110 populaarsemat veebisaiti. Reklaamijad kasutavad just seda meetodit kasutajanimede ja e-posti aadresside hõivamiseks, kuid polegi midagi pistmist ka paroolide hõivamiseks, kui keegi oleks täna eriti ebaviisakas tuju.
Kui reklaamija ei salvesta teie parooli veebisaidil, võib halvim kasutaja, kellel need andmed võivad olla, logida sisse sellele veebisaidile. See pole ideaalne, kuid see ei ole halvim, mis võiks juhtuda.kui kasutate selle veebisaidi jaoks sama parooli, nagu teete oma e-posti konto jaoks, saaks see isik oma e-posti kontole juurdepääsu ja kasutada seda teiste kontodele juurdepääsu saamiseks. See on halvim, mis võib juhtuda.
Sellepärast soovitame ikkagi paroolihaldurit, ükskõik mida. Kõigi erinevate kontode puhul, mida keskmine inimene on internetis ja nende veebisaitide rünnakute sagedus, on kindlasti vaja iga külastatava saidi ainulaadset parooli. Parim viis seda teha on paroolijuhiga - ärge laske lapsel vett ära visata.
Kaitse end automaatse täitmise keelamisega
Kuid võite veelgi leevendada mõnda oma riski nendest skriptidest, kui salasõnahaldur automaatset täitmist keelab. Näiteks kui kasutate LastPassit( mida käesolevad skriptid praegu ei puuduta, kuid teoreetiliselt võivad olla), täidab automaatse täitmise funktsioon sisselogimisvälju oma mandaadiga, nii et saate lihtsalt klõpsata nupul "Logi sisse".Kui lülitate automaatse täitmise funktsiooni välja, peate parooliväljale klõpsama LastPassi ikoonil ja salvestavate andmete täitmiseks klõpsake oma kasutajanime. Kui soovite sisselogimist proovida, tee seda ainult nii, et see peaks kaitsma teie mandaate selle eest, et neid ei kasutataks. Sa ei pihus neid üle kogu lehe.
Võite lihtsalt kopeerida ja kopeerida kasutajanimed ja paroolid oma paroolihaldurist, mis muudaks teid veelgi turvalisemaks, kuid tunduvalt vähem mugavaks. Me arvame, et automaatse täitmise käsitsi sisselülitamine ainult sisselogimislehtedel peaks olema turvaline ja mugavus keskel. Kui selline sisselogimislehed olid sellise skriptiga kahjustatud, ei saa miski sulle midagi aidata - skript võiks lugeda sisselogimisandmeid isegi siis, kui kopeerite ja kleepisite või sisestasite need käsitsi.
Kahjuks ei luba enamik brauseri paroolijuhti automaatset täitmist keelata. Automaatse täitmise funktsiooni keelamiseks pole võimalust, kui kasutate näiteks integreeritud paroolijuhti Google Chrome'is või Microsoft Edge'is. Chrome'il on võimalus automaatse täitmise keelamiseks, kuid see blokeerib ainult selliste andmete automaatse täitmise nagu aadressid ja telefoninumbrid, mitte paroolid. Mozilla Firefoxi paroolijuhtimisparoolis on paroolide automaatse täitmise keelamine, kuid see on peidetud: config.
Kui kasutate sisseehitatud paroolijuhti Chrome'is või Edge'is, soovitame teil minna üle kolmanda osapoole paroolijuhile, mis pakub rohkem kontrolli, nagu näiteks LastPass või 1Password. Selle probleemi ei puuduta 1Password, kuna see ei sisalda automaatset automaatse täitmise funktsiooni.
Viimatimispassis saate automaatse täitmise keelata, klõpsates oma brauseri tööriistaribal nuppu LastPassi laiendamine ja klõpsates "Eelistused".Tühjendage märkeruut "Automaatselt sisselogimisandmete sisestamine" jaotises Üldine ja seejärel klõpsake muudatuste salvestamiseks nuppu "Salvesta".
Kui soovite jätkata Firefoxi paroolijuhi kasutamist, peate Firefoxi aadressiribale sisestama "about: config" ja vajuta Enter. Näete hoiatuskäsku, mis teavitab teid sellest, et siin võivad erinevate sätete muutmine põhjustada probleeme.Ärge muretsege - kui muudad ainult ühte seadet, millele me osutavad, siis läheb hästi. Jätkamiseks klõpsake nuppu "Nõustun riskiga!".
Tüüp "autofillForms" sisestage otsingukasti ja topeltklõpsake valikut "signon.autofillForms", et määrata see "false".Firefox ei luba teie loata enam kasutajanime ja parooli automaatset täitmist.
Kui kasutate mõnda muud paroolihaldurit, peaksite avama oma eelistused ja keelama automaatse täitmise või automaatse täitmise võimaluse, et teie paroolijuht teie isiklikku teavet ei leki.
Brauseri ja paroolijuhi arendajad peavad paroolijuhti ümber mõtlema, et muuta need turvalisemaks. Nad ei tohiks proovida automaatselt täita oma sisselogimise andmeid igal veebisaidil, mille olete külastanud konkreetsel veebisaidil. See lihtsalt palub probleeme. Kuid praegu võite automaatse täitmise keelamise teha end turvalisemaks muuta.
Image Credit: vladwei / Shutterstock.com.