14Aug
Annoncører har fundet en ny måde at spore dig på.Ifølge Freedom to Tinker misbruger et par annoncenetværk sporingsscripts for at indfange de e-mailadresser, som din adgangskodeadministrator automatisk udfylder på websteder.
Men det bliver værre: de kunne bruge den teknologi til at fange dine adgangskoder også, hvis de ønskede det. Dette påvirker alle, der bruger en adgangskodeadministrator, om det er en indbygget adgangskodeadministrator som den i Chrome, Firefox eller Edge, eller en browserudvidelse som LastPass. Som følge heraf skal du sandsynligvis deaktivere autofyldningsfunktionen for at forhindre dette.
Hvordan Autofill læser dine oplysninger
Når du gemmer dit brugernavn og adgangskode på et websted, husker din adgangskodeadministrator dem. Fra det tidspunkt vil det forsøge at automatisk fylde dem i brugernavn og adgangskodekasser, som den ser på den pågældende hjemmeside. Dette gør det hurtigere at logge ind, da du bare skal klikke på "Log ind".
Men nogle tredjeparts reklame scripts - dem, der næsten alle hjemmesider derude bruger - begynder at bruge disse til at spore dig. De løber i baggrunden, opretter falske login- og adgangskodekasser, du ikke engang kan se, og fanger de legitimationsoplysninger, som din adgangskodeadministrator fylder i dem.
Du kan se dette problem for dig selv ved at besøge denne demonstrationsside. Udfyld en falsk email-adresse og adgangskode, og du bliver bedt om at gemme den i din browserens adgangskodeadministrator. Fortsæt, og det bliver autofyldt i baggrunden, med scriptet, der indfanger e-mail-adressen og adgangskoden.
Dette demonstrationssted viser i øjeblikket ikke noget problem, hvis du bruger LastPass, men alt, der automatisk udfylder brugernavne og adgangskoder uden brugerintervention - LastPass included - er teoretisk sårbar.
Du har brug for unikke adgangskoder overalt, så Password Managers er stadig vigtige
Dette problem demonstrerer vigtigheden af at bruge unikke adgangskoder på alle hjemmesider. Det er ikke bare et teoretisk angreb - det bliver faktisk brugt af annoncører på 1110 af de øverste en million websites i dag, ifølge Freedom to Tinker. Annoncører bruger i øjeblikket bare denne teknik til at indfange brugernavne og e-mailadresser, men der er ikke noget, der stopper dem fra at fange adgangskoder også, hvis man var i en særlig mærkelig stemning en dag.
Hvis en annoncør fanger dit adgangskode på et websted, kan den værste, der med disse data gør, logge ind på den pågældende hjemmeside. Det er ikke ideelt, men det er ikke det værste, der kunne ske. Hvis du bruger den samme adgangskode til denne hjemmeside som du gør for din e-mail-konto, kunne den pågældende derefter få adgang til din e-mail-konto og bruge den til at få adgang til dine andre konti. Det er det værste der kunne ske.
Derfor anbefaler vi stadig at bruge en adgangskodeadministrator, uanset hvad. Med alle de forskellige konti, som den gennemsnitlige person har online, og hyppigheden af angreb på disse websteder, er det afgørende, at du bruger et unikt kodeord for hvert websted, du besøger. Den bedste måde at gøre det på er med en adgangskode manager - kast ikke babyen ud med badvandet.
Beskyt dig selv ved at deaktivere Autofill
Du kan dog stadig begrænse nogle af dine risici fra disse scripts ved at deaktivere autofyldning i din adgangskodeadministrator. Hvis du f.eks. Bruger LastPass( som ikke aktuelt er berørt af disse scripts, men teoretisk kunne være), udfyldes autofyldningsfunktionen med dine legitimationsoplysninger, så du kan bare klikke på "Log ind".Hvis du deaktiverer autofyldningsfunktionen, skal du klikke på LastPass-ikonet i et adgangskodefelt og klikke på dit brugernavn for at udfylde dine gemte oplysninger. Du vil kun gøre dette, når du prøver at logge ind, så dette skal beskytte dine legitimationsoplysninger fra at blive scooped up. Du spreder ikke længere dem over hver side.
Du kan også bare kopiere og indsætte brugernavne og adgangskoder fra din valgte adgangskodeadministrator, og det ville gøre dig endnu mere sikker - men betydeligt mindre praktisk. Vi synes at vælge at manuelt starte autofyldning kun på login-sider, bør være en god mellemplads mellem sikkerhed og bekvemmelighed. Hvis disse login sider blev kompromitteret med et sådant script, kunne ingenting hjælpe dig - alligevel - scriptet kunne læse dine loginoplysninger, selvom du kopierede og indsatte eller manuelt skrev dem ind.
Desværre tillader de fleste browseradgangskodeadministratorer dig ikke at deaktivere autofyld. Du kan ikke deaktivere autofyldningsfunktionen, hvis du f.eks. Bruger den integrerede adgangskodeadministrator i Google Chrome eller Microsoft Edge. Chrome har mulighed for at deaktivere autofyldning, men det deaktiverer kun autofyldning af data som adresser og telefonnumre, ikke adgangskoder. Der er mulighed for at deaktivere autofyldning af adgangskoder i Mozilla Firefox's adgangskodeadministrator, men den er skjult i omkring: config.
Hvis du bruger den indbyggede adgangskodeadministrator i Chrome eller Edge, opfordrer vi dig til at skifte til en tredjeparts adgangskodeadministrator, der giver mere kontrol, som LastPass eller 1Password.1Password påvirkes ikke af dette problem, fordi det ikke indeholder en automatisk autofyldningsfunktion.
I LastPass kan du deaktivere autofyldning ved at klikke på LastPass-udvidelsesknappen på browserens værktøjslinje og klikke på "Indstillinger".Fjern markeringen i indstillingen "Indtast automatisk information" under Generelt og klik derefter på "Gem" for at gemme dine ændringer.
Hvis du vil fortsætte med at bruge Firefox's password manager, skal du skrive "About: config" i Firefox adresselinje og trykke Enter. Du får vist en advarselsskærm, der informerer dig om, at ændring af forskellige indstillinger her kan forårsage problemer. Du skal ikke bekymre dig. Hvis du bare ændrer den enkelte indstilling, peger du på, det går dig fint. Klik på "Jeg accepterer risikoen!" For at fortsætte.
Type "autofillForms" i søgefeltet og dobbeltklik på "signon.autofillForms" præference for at indstille den til "false".Firefox vil ikke længere automatisk udfylde brugernavne og adgangskoder uden din tilladelse.
Hvis du bruger en anden adgangskodeadministrator, skal du åbne sine præferencer og deaktivere "autofill" eller "automatisk udfyld" for at sikre, at din adgangskodeadministrator ikke lækker dine personlige oplysninger.
Browser og password manager udviklere skal genoverveje adgangskode ledere for at gøre dem mere sikre. De bør ikke forsøge at automatisk udfylde dine login-data på hver enkelt webside, du besøger på et bestemt websted. Det kræver bare problemer. Men for nu kan du deaktivere autofyldning for at gøre dig mere sikker.
Billedkredit: vladwei / Shutterstock.com.