14Aug
Inzerenti našli nový způsob, jak vás sledovat. Podle sdružení Freedom to Tinker nyní několik reklamních sítí zneužívá sledovací skripty, které zachycují e-mailové adresy, které správce hesel automaticky naplňuje na webových stránkách.
Ale zhoršuje se: mohli by využívat tuto technologii k zachycení hesel, pokud chtějí.To se týká každého, kdo používá správce hesel, ať už je to vestavěný správce hesel, jako je prohlížeč Chrome, Firefox nebo Edge, nebo rozšíření prohlížeče jako LastPass. V důsledku toho pravděpodobně vypnete funkci Automatické naplnění, aby se tomu zabránilo.
Jak vyplývá automatické vyplňování informací
Když uložíte své uživatelské jméno a heslo na webovou stránku, správce hesel si je pamatuje. Od tohoto bodu vpřed se pokusí o automatické vyplnění do pole pro uživatelské jméno a heslo, které vidí na této webové stránce. Toto umožňuje rychlejší přihlašování, protože stačí kliknout na tlačítko "Přihlásit se".
Některé reklamní skripty třetích stran - ty, které téměř všechny webové stránky používají - začínají je používat pro sledování.Spouštějí se v pozadí, vytvářejí falešné přihlašovací a heslo pole, které ani nevidíte a zachycují pověření, která do nich zaplňuje správce hesel.
Tento problém můžete vidět sami navštívit tuto ukázkovou stránku. Vyplňte falešnou e-mailovou adresu a heslo a budete vyzváni k uložení do správce hesel vašeho prohlížeče. Pokračujte a bude automaticky vyplněno na pozadí se skriptem zachycujícím e-mailovou adresu a heslo.
Tato ukázková stránka momentálně neprojevuje žádný problém, pokud používáte aplikaci LastPass, ale vše, co automaticky vyplňuje uživatelská jména a hesla bez zásahu uživatele - včetně LastPassu - je teoreticky zranitelná.
Potřebujete jedinečné hesla všude, takže správci hesel jsou stále zásadní
Tento problém demonstruje důležitost používání jedinečných hesel na každé webové stránce. Není to jen teoretický útok - ve skutečnosti je podle iniciativy Freedom to Tinker využíván inzerenty na 1110 z prvních milionů webových stránek. Inzerenti právě používají tuto techniku k zachycení uživatelských jmen a e-mailových adres, nicméně není nic, co by je zabránilo v zachycení hesel, kdyby někdo byl někdy v obzvlášť hanebné náladě.
Pokud inzerent zachytil vaše heslo na webových stránkách, nejhorší uživatel, který by tyto údaje mohl udělat, je přihlásit se na tuto webovou stránku. To není ideální, ale není to ta nejhorší věc, která se může stát.pokud použijete stejné heslo pro danou webovou stránku jako pro svůj e-mailový účet, pak by tato osoba mohla přistupovat k vašemu e-mailovému účtu a použít jej k získání přístupu k vašim ostatním účtům. To je nejhorší, co se může stát.
Proto doporučujeme používat správce hesel, bez ohledu na to, co. Se všemi různými účty, které má průměrný člověk online a četnost útoků proti těmto webovým stránkám, je nutné používat pro každé navštívené stránky jedinečné heslo. Nejlepší způsob, jak to udělat, je správce hesel - nevyměňujte dítě s vanou.
Chraňte se tím, že vypnete automatické vyplňování
Můžete však stále snižovat některé vaše riziko z těchto skriptů vypnutím automatického vyplňování ve správci hesel. Například pokud použijete LastPass( který není v současné době ovlivněn těmito skripty, ale teoreticky by mohl být), funkce automatického vyplňování vyplní přihlašovací pole pomocí pověření, takže můžete jednoduše kliknout na tlačítko "Přihlásit se".Pokud zakážete funkci automatického vyplňování, budete muset kliknout na ikonu LastPass v poli s heslem a kliknutím na své uživatelské jméno vyplníte uložené informace. Uděláte to pouze při pokusu o přihlášení, a tak by to mělo chránit vaše pověření před tím, Ty už je nekouříte po každé stránce.
Mohli byste také zkopírovat a vkládat uživatelská jména a hesla z vašeho správce hesel dle výběru a to by vás ještě bezpečnější - ale podstatně méně pohodlné.Domníváme se, že výběr ručního spuštění automatického vyplňování pouze na přihlašovacích stránkách by měl být dobrým středem mezi bezpečností a pohodlím. Pokud by tyto přihlašovací stránky byly kompromisy s takovým skriptem, nic vám nemohlo pomoci - skript by mohl přečíst vaše přihlašovací údaje i tehdy, pokud jste je zkopírovali a vložili nebo jste je ručně zadali.
Bohužel, většina správců hesel pro prohlížeče neumožňuje zakázat automatické vyplňování.Nelze vypnout funkci automatického vyplňování, pokud například používáte integrovaný správce hesel v aplikacích Google Chrome nebo Microsoft Edge. Chrome má možnost zakázat automatické vyplňování, ale zakáže pouze automatické vyplňování dat, jako jsou adresy a telefonní čísla, nikoliv hesla. Existuje možnost zakázat automatické vyplňování hesel v správci hesel aplikace Mozilla Firefox, ale je skrytý v: config.
Pokud používáte vestavěný správce hesel v prohlížeči Chrome nebo Edge, doporučujeme přejít na správce hesel třetí strany, který nabízí větší kontrolu, jako je LastPass nebo 1Password.1Password není tímto problémem ovlivněn, protože neobsahuje funkci automatického automatického vyplňování.
V aplikaci LastPass můžete zakázat automatické vyplňování klepnutím na tlačítko Extensions LastPass na panelu nástrojů prohlížeče a klepnutím na tlačítko Předvolby. Zrušte zaškrtnutí volby "Automatické vyplnění přihlašovacích údajů" v části Obecné a poté klikněte na tlačítko Uložit a uložte změny.
Chcete-li stále používat správce hesel v prohlížeči Firefox, měli byste do adresního řádku aplikace Firefox zadejte "about: config" a stiskněte klávesu Enter. Zobrazí se varovná obrazovka, která vás informuje, že změna různých nastavení zde může způsobit problémy. Nemějte strach - pokud změníte jediné nastavení, které upozorňujeme, budete v pořádku. Klepnutím na tlačítko "Přijmím riziko!" Pokračujte.
Do vyhledávacího pole zadejte text "autofillForms" a poklepejte na předvolbu "signon.autofillForms" a nastavte jej na hodnotu "false".Firefox již bez vašeho svolení již nebude automaticky doplňovat uživatelská jména a hesla.
Pokud používáte jiného správce hesel, měli byste otevřít jeho předvolby a zakázat volbu "Automatické vyplňování" nebo "Automatické vyplnění", abyste zajistili, že váš správce hesel neopustí vaše osobní údaje.
Vývojáři prohlížečů a správce hesel potřebují přehodnotit správce hesel, aby byli bezpečnější.Neměli byste se snažit automaticky vyplnit vaše přihlašovací údaje na každé webové stránce, kterou navštívíte na určitém webu. To je jen otázka potíží.Ale prozatím můžete vypnout automatické vyplňování, abyste byli bezpečnější.
Image Credit: vladwei / Shutterstock.com.