14Aug
Werbetreibende haben einen neuen Weg gefunden, Sie zu verfolgen. Laut Freedom to Tinker missbrauchen jetzt einige Werbenetzwerke Tracking-Scripts, um die E-Mail-Adressen zu erfassen, die Ihr Passwort-Manager auf Websites automatisch ausfüllt.
Aber es wird schlimmer: Sie könnten diese Technologie verwenden, um auch Ihre Passwörter zu erfassen, wenn sie es wollten. Dies betrifft alle, die einen Passwort-Manager verwenden, sei es ein integrierter Passwort-Manager wie der in Chrome, Firefox oder Edge oder eine Browser-Erweiterung wie LastPass. Daher sollten Sie die Funktion zum automatischen Ausfüllen möglicherweise deaktivieren, um dies zu verhindern.
Wie Autofill Ihre Informationen verliert
Wenn Sie Ihren Benutzernamen und Ihr Passwort auf einer Website speichern, merkt sich Ihr Passwort-Manager sie. Von diesem Zeitpunkt an versucht es, sie automatisch in die Felder für Benutzername und Passwort einzufügen, die auf dieser Website angezeigt werden. Dies ermöglicht eine schnellere Anmeldung, da Sie einfach auf "Login" klicken müssen.
Aber einige Werbeskripts von Drittanbietern - diejenigen, die fast jede Website verwendet - fangen an, diese zu verwenden, um Sie zu verfolgen. Sie laufen im Hintergrund, erstellen gefälschte Anmelde- und Passwortfelder, die Sie nicht sehen können, und erfassen die Anmeldedaten, die Ihr Passwortmanager in sie eingibt.
Sie können dieses Problem selbst sehen, wenn Sie diese Demonstrationsseite besuchen. Geben Sie eine falsche E-Mail-Adresse und ein falsches Passwort ein und Sie werden aufgefordert, sie im Passwort-Manager Ihres Browsers zu speichern. Fahren Sie fort, und es wird im Hintergrund automatisch ausgefüllt, wobei das Skript die E-Mail-Adresse und das Passwort erfasst.
Diese Demo-Site zeigt derzeit kein Problem, wenn Sie LastPass verwenden, aber alles, was automatisch Benutzernamen und Kennwörter ohne Benutzereingriff füllt - LastPass eingeschlossen - ist theoretisch anfällig.
Sie benötigen überall einzigartige Passwörter, daher sind Passwort-Manager immer noch wichtig
Dieses Problem zeigt, wie wichtig es ist, auf jeder Website eindeutige Passwörter zu verwenden. Es ist nicht nur ein theoretischer Angriff - es wird laut Freedom to Tinker von Werbetreibenden auf 1110 der besten einer Million Websites verwendet. Werbetreibende verwenden diese Technik derzeit nur, um Benutzernamen und E-Mail-Adressen zu erfassen, aber nichts hindert sie daran, auch Kennwörter zu erfassen, wenn eines Tages in einer besonders ruchlosen Stimmung war.
Wenn ein Werbetreibender Ihr Passwort auf einer Website erfasst hat, ist es das Schlimmste, das jemand mit diesen Daten tun kann, sich auf dieser Website anzumelden. Das ist nicht ideal, aber es ist nicht das Schlimmste, was passieren könnte. Wenn Sie für diese Website dasselbe Passwort wie für Ihr E-Mail-Konto verwenden, kann diese Person dann auf Ihr E-Mail-Konto zugreifen und es für den Zugriff auf Ihre anderen Konten verwenden. Das ist das Schlimmste, was passieren könnte.
Deshalb empfehlen wir immer noch, einen Passwort-Manager zu verwenden, egal was passiert. Mit all den verschiedenen Konten, die eine durchschnittliche Person online hat, und der Häufigkeit von Angriffen auf diese Websites ist es unerlässlich, dass Sie für jede von Ihnen besuchte Website ein eindeutiges Passwort verwenden. Der beste Weg dazu ist mit einem Passwort-Manager - werfen Sie das Kind nicht mit dem Bade aus.
Schützen Sie sich, indem Sie AutoFill
deaktivieren Sie können jedoch immer noch einige Ihrer Risiken durch diese Skripts mindern, indem Sie die automatische Befüllung in Ihrem Passwort-Manager deaktivieren. Wenn Sie beispielsweise LastPass verwenden( was derzeit nicht von diesen Skripts betroffen ist, aber theoretisch möglich ist), füllt die Funktion zum automatischen Ausfüllen Anmeldefelder mit Ihren Anmeldeinformationen, sodass Sie einfach auf "Anmelden" klicken können. Wenn Sie die AutoFill-Funktion deaktivieren, müssen Sie in einem Passwortfeld auf das LastPass-Symbol klicken und auf Ihren Benutzernamen klicken, um Ihre gespeicherten Informationen zu füllen. Sie tun dies nur, wenn Sie versuchen, sich anzumelden. Dadurch sollten Ihre Anmeldeinformationen vor dem Abrufen geschützt werden. Du spritzt sie nicht mehr auf jeder Seite.
Sie können Benutzernamen und Passwörter auch einfach aus Ihrem Passwort-Manager Ihrer Wahl kopieren und einfügen, und das würde Sie noch sicherer machen - aber wesentlich weniger bequem. Wir denken, dass die Entscheidung, AutoFill nur auf Anmeldeseiten manuell zu initiieren, ein guter Mittelweg zwischen Sicherheit und Komfort sein sollte. Wenn diese Anmeldeseiten mit einem solchen Skript kompromittiert waren, konnte Ihnen nichts helfen - das Skript konnte Ihre Anmeldedaten auch dann lesen, wenn Sie sie kopieren und einfügen oder manuell eingaben.
Leider erlauben die meisten Browser-Passwort-Manager nicht, die automatische Füllung zu deaktivieren. Es gibt keine Möglichkeit, die Funktion zum automatischen Ausfüllen zu deaktivieren, wenn Sie beispielsweise den integrierten Passwort-Manager in Google Chrome oder Microsoft Edge verwenden. Chrome verfügt über eine Option zum Deaktivieren der automatischen Füllung, aber es deaktiviert nur die automatische Füllung von Daten wie Adressen und Telefonnummern, keine Kennwörter. Es gibt eine Option zum Deaktivieren der automatischen Eingabe von Passwörtern im Passwort-Manager von Mozilla Firefox, aber sie ist in about: config versteckt.
Wenn Sie den integrierten Passwortmanager in Chrome oder Edge verwenden, empfehlen wir Ihnen, zu einem Drittanbieter-Passwortmanager zu wechseln, der mehr Kontrolle bietet, wie LastPass oder 1Password.1Password ist von diesem Problem nicht betroffen, da es keine automatische AutoFill-Funktion enthält.
In LastPass können Sie die automatische Füllung deaktivieren, indem Sie in der Symbolleiste Ihres Browsers auf die Schaltfläche LastPass-Erweiterung klicken und auf "Einstellungen" klicken. Deaktivieren Sie die Option "Anmeldeinformationen automatisch ausfüllen" unter Allgemein und klicken Sie dann auf "Speichern", um Ihre Änderungen zu speichern.
Wenn Sie den Passwort-Manager von Firefox weiterhin verwenden möchten, sollten Sie "about: config" in die Adressleiste von Firefox eingeben und die Eingabetaste drücken. Es wird eine Warnmeldung angezeigt, die Sie darüber informiert, dass das Ändern verschiedener Einstellungen zu Problemen führen kann. Keine Sorge - wenn Sie nur die einzige Einstellung ändern, auf die wir hinweisen, wird es Ihnen gut gehen. Klicken Sie auf "Ich akzeptiere das Risiko!", Um fortzufahren.
Geben Sie "autofillForms" in das Suchfeld ein und doppelklicken Sie auf die Einstellung "signon.autofillForms", um sie auf "false" zu setzen. Firefox wird Benutzernamen und Passwörter nicht mehr ohne Ihre Erlaubnis automatisch füllen.
Wenn Sie einen anderen Passwort-Manager verwenden, sollten Sie dessen Einstellungen öffnen und die Option "Automatisch ausfüllen" oder "Automatisch füllen" deaktivieren, um sicherzustellen, dass Ihr Passwort-Manager Ihre persönlichen Daten nicht verliert.
Browser- und Passwort-Manager-Entwickler müssen Passwort-Manager überdenken, um sie sicherer zu machen. Sie sollten nicht versuchen, Ihre Anmeldedaten auf jeder einzelnen Webseite, die Sie auf einer bestimmten Website besuchen, automatisch zu füllen. Das verlangt nur Ärger. Aber vorerst können Sie die Autofill-Funktion deaktivieren, um sich sicherer zu machen.
Bildquelle: vladwei / Shutterstock.com.