14Aug
Inzerenti našli nový spôsob, ako vás sledovať.Podľa Freedom to Tinker niekoľko reklamných sietí zneužíva sledovacie skripty na zachytenie e-mailových adries, ktoré správca hesiel automaticky naplní na webových stránkach.
Ale zhoršuje sa: mohli by používať túto technológiu na zachytenie hesiel, ak by chceli. To ovplyvňuje každého, kto používa správcu hesiel, či už je to vstavaný správca hesiel, ako je ten v aplikácii Chrome, Firefox alebo Edge, alebo rozšírenie prehliadača ako LastPass. V dôsledku toho by ste pravdepodobne mali zablokovať funkciu automatického dopĺňania, aby ste tomu zabránili.
Ako Automatické dopĺňanie vyteká vaše informácie
Keď uložíte vaše používateľské meno a heslo na webovú stránku, správca hesiel si ich zapamätá.Od tohto bodu vpred sa pokúsi automaticky vyplniť ich do poľa používateľského mena a hesla, ktoré vidí na tejto webovej lokalite. Toto umožňuje rýchlejšie prihlásenie, keďže stačí kliknúť na tlačidlo Prihlásiť sa.
Ale niektoré reklamné skripty tretej strany - tie, ktoré používajú takmer všetky webové stránky - používajú ich na sledovanie. Spúšťajú sa v pozadí, vytvárajú falošné prihlasovacie a heslá, ktoré nemôžete vidieť a zachytávajú poverenia, ktoré správca hesiel naplní.
Tento problém môžete vidieť sami navštívením tejto demonštračnej stránky. Vyplňte falošnú e-mailovú adresu a heslo a zobrazí sa výzva na uloženie do správcu hesiel prehliadača. Pokračujte a bude automaticky vyplnený na pozadí, pričom skript zachyti e-mailovú adresu a heslo.
Táto demonštračná lokalita momentálne nepredstavuje žiadny problém, ak používate LastPass, ale všetko, čo automaticky vyplní používateľské mená a heslá bez zásahu používateľa - vrátane LastPassu - je teoreticky zraniteľné.
Potrebujete jedinečné heslá všade, takže správcovia hesiel sú stále zásadní
Tento problém poukazuje na dôležitosť používania jedinečných hesiel na každej webovej lokalite. Nie je to len teoretický útok - v skutočnosti ich používajú inzerenti na 1110 z prvých miliónov webových stránok dnes, podľa Freedom to Tinker. Inzerenti v súčasnosti používajú túto techniku na zachytenie používateľských mien a e-mailových adries, ale nie je nič, čo by im zabránilo v zachytení hesiel, ak by ste niekedy mali obzvlášť zúfalú náladu.
Ak inzerent zachytil vaše heslo na webovej stránke, najhoršie niekto s týmito údajmi môže urobiť, je prihlásiť sa na túto webovú stránku. To nie je ideálne, ale to nie je tá najhoršia vec, ktorá sa môže stať.ak pre toto webové stránky používate rovnaké heslo ako pre váš e-mailový účet, táto osoba by potom mohla pristupovať k vášmu e-mailovému účtu a použiť ho na získanie prístupu k vašim ďalším účtom. To je najhoršie, čo sa môže stať.
Z tohto dôvodu odporúčame používať správcu hesiel bez ohľadu na to, čo. So všetkými rôznymi účtami, ktoré má priemerná osoba online, a frekvenciou útokov proti týmto webovým stránkam, je nevyhnutné, aby ste používali jedinečné heslo pre všetky stránky, ktoré navštívite. Najlepším spôsobom, ako to dosiahnuť, je správca hesiel - nevyhadzujte dieťa von z vody do vody.
Chráňte sa tým, že vypnete automatické dopĺňanie
Avšak stále môžete znižovať niektoré riziko z týchto skriptov tým, že vypnete automatické dopĺňanie v správcovi hesiel. Napríklad, ak používate LastPass( ktorý momentálne nie je ovplyvnený týmito skripty, ale teoreticky by mohol byť), funkcia automatického dopĺňania vyplní prihlasovacie polia s vašimi povereniami, takže môžete jednoducho kliknúť na "Prihlásiť sa".Ak vypnete funkciu automatického dopĺňania, budete musieť kliknúť na ikonu LastPass v poli s heslom a kliknúť na svoje používateľské meno, čím vyplníte uložené informácie. Urobíte to len pri pokuse o prihlásenie, a preto by ste mali chrániť vaše poverenia pred tým, Vy už ich nestrekujete po každej stránke.
Môžete tiež skopírovať a prilepiť používateľské mená a heslá od svojho správcu hesiel podľa výberu, a to by vás ešte bezpečnejšie - ale podstatne menej výhodné.Myslíme si, že výber ručného spustenia automatického dopĺňania iba na prihlasovacích stránkach by mal byť dobrým stredným bodom medzi bezpečnosťou a pohodlím. Ak by boli tieto prihlasovacie stránky kompromisom s takýmto skriptom, nič by vám nemohlo pomôcť - skript by mohol čítať vaše prihlasovacie údaje aj vtedy, ak ste ich skopírovali a vložili alebo manuálne ich zadali.
Bohužiaľ, väčšina správcov hesiel prehliadača neumožňuje zakázať automatické dopĺňanie. Nie je možné vypnúť funkciu automatického dopĺňania, ak napríklad používate integrovaný správca hesiel v prehliadači Google Chrome alebo Microsoft Edge. Chrome má možnosť zakázať automatické dopĺňanie, ale zakáže iba automatické dopĺňanie údajov, ako sú adresy a telefónne čísla, nie heslá.Existuje možnosť zakázať automatické dopĺňanie hesiel v správcovi hesiel Mozilla Firefox, ale je to skryté v: config.
Ak používate vstavaný správcu hesiel v prehliadači Chrome alebo Edge, odporúčame vám prepnúť na správcu hesiel tretej strany, ktorý ponúka väčšiu kontrolu, napríklad LastPass alebo 1Password.1Password nie je týmto problémom ovplyvnený, pretože neobsahuje funkciu automatického automatického dopĺňania.
V nástroji LastPass môžete vypnúť automatické dopĺňanie kliknutím na tlačidlo rozšírenia LastPass na paneli s nástrojmi prehliadača a kliknutím na položku Predvoľby. Zrušte začiarknutie možnosti Automatické vyplnenie prihlasovacích údajov v časti Všeobecné a potom kliknite na tlačidlo Uložiť a uložte zmeny.
Ak chcete používať správcu hesiel v prehliadači Firefox, mali by ste do adresného riadku programu Firefox zadať "about: config" a stlačte kláves Enter. Zobrazí sa varovná obrazovka, ktorá vás informuje o tom, že zmena rôznych nastavení by mohlo spôsobiť problémy. Nebojte sa - ak jednoducho zmeníte jednotné nastavenie, ktoré poukážeme, budete v poriadku. Kliknutím na tlačidlo "Prijímam riziko!" Pokračujte.
Do vyhľadávacieho poľa zadajte "autofillForms" a dvakrát kliknite na predvoľbu "signon.autofillForms" a nastavte ju na hodnotu "false".Firefox už nebude bez vášho súhlasu automaticky vyplňovať používateľské mená a heslá.
Ak používate iného správcu hesiel, mali by ste otvoriť jeho predvoľby a vypnúť voľbu "automatické dopĺňanie" alebo "automatické vyplnenie", aby sa zabezpečilo, že váš správca hesiel neporuší vaše osobné informácie.
Vývojári prehliadačov a správcov hesiel potrebujú prehodnotiť správcov hesiel, aby boli bezpečnejšie. Nemali by sa pokúšať automaticky vyplniť vaše prihlasovacie údaje na každej webovej stránke, ktorú navštívite na konkrétnej webovej stránke. To je len otázka problémov. Ale teraz môžete zakázať automatické dopĺňanie, aby ste sa stali bezpečnejšími.
Image Credit: vladwei / Shutterstock.com.