14Aug
Oglašavači su pronašli novi način praćenja. Prema Freedom to Tinker, nekoliko oglasnih mreža sada zloupotrebljava skripte za praćenje kako bi obuhvatile adrese e-pošte koje upravitelj lozinke automatski ispunjava na web stranicama.
Ali to se pogoršava: oni bi mogli koristiti tu tehnologiju kako bi uhvatili i vaše lozinke, ako žele. To utječe na sve korisnike upravitelja zaporki, bez obzira je li riječ o ugrađenom upravitelju zaporke poput onog u Chromeu, Firefoxu ili Edgeu ili proširenju preglednika kao što je LastPass. Zbog toga biste vjerojatno trebali onemogućiti značajku automatskog popunjavanja da biste to spriječili.
Kako se automatski isprepliće vaše informacije
Kada spremite korisničko ime i zaporku na web stranicu, upravitelj lozinke ih pamti. Od tog trenutka naprijed će pokušati automatski ih ispuniti u korisničke i lozinke kutije koje vidi na toj web stranici. To znači da se prijavljujete brže, jer samo trebate kliknuti "Prijava".
No, neke reklamne skripte treće strane - one koje gotovo svaka web stranica upotrebljava - počnu upotrebljavati te kako bi vas pratili. Pokreću se u pozadini, stvaraju lažne lozinke za prijavu i lozinku koje ne možete ni vidjeti, a bilježe vjerodajnice koje vam zaporku za zaporku ispunjavaju.
Taj problem možete vidjeti sami posjetom ove demonstracijske stranice. Ispunite lažnu adresu e-pošte i zaporku i od vas će se zatražiti da ga spremite u upravitelj zaporki preglednika. Nastavi, a bit će automatski ispunjena u pozadini, a skripta će obuhvatiti adresu e-pošte i zaporku.
Ova demonstracijska stranica trenutačno ne pokazuje nikakav problem ako koristite LastPass, ali sve što automatski popunjava korisnička imena i lozinke bez intervencije korisnika - uključujući LastPass - teoretski je ranjivo.
Trebate jedinstvene lozinke svugdje, tako da menadžeri lozinki i dalje su bitni
Ovaj problem pokazuje važnost korištenja jedinstvenih lozinki na svakoj web stranici. To nije samo teorijski napad, već ga oglašavači danas koriste na 1110 top milijuna web stranica, prema Freedom to Tinker. Oglašivači trenutačno koriste ovu tehniku kako bi uhvatili korisnička imena i adrese e-pošte, no ništa ih ne sprečava da obuhvaćaju i lozinke, ako jednoga dana u nekom posebno neugodnom raspoloženju.
Ako je oglašavač zabilježio vašu zaporku na web stranici, najgori je netko s tim podacima da se prijavi na tu web stranicu. To nije idealno, ali to nije najgore što bi se moglo dogoditi.ako koristite istu lozinku za tu web lokaciju kao i za vaš račun e-pošte, ta osoba tada može pristupiti vašem računu e-pošte i koristiti je za pristup vašim drugim računima. To je najgore što bi se moglo dogoditi.
Zato i dalje preporučujemo upotrebu upravitelja lozinki, bez obzira na to. S obzirom na sve različite račune koje prosječna osoba ima na mreži i učestalost napada na te web stranice, neophodno je da koristite jedinstvenu zaporku za svaku web stranicu koju posjetite. Najbolji način da to učinite je upravitelj lozinke - ne bacajte bebu s kupeljom.
zaštitite se onemogućavanjem automatskog popunjavanja
Međutim, još uvijek možete ublažiti neki od rizika tih skripti onemogućavanjem automatskog popunjavanja u upravitelju zaporke. Na primjer, ako koristite LastPass( na koju trenutno ne djeluju te skripte, ali teoretski može biti), značajka automatskog popunjavanja ispunjava polja za prijavu s vjerodajnicama tako da možete jednostavno kliknuti "Prijava".Ako onemogućite značajku automatskog popunjavanja, morat ćete kliknuti ikonu LastPass u polju za zaporku i kliknite svoje korisničko ime kako biste ispunili spremljene podatke. To ćete učiniti samo kada se pokušavate prijaviti, tako da bi to trebalo zaštititi vaše vjerodajnice. Više vas ne raspršuje po cijeloj stranici.
Također možete samo kopirati i zalijepiti korisnička imena i lozinke iz vašeg lozinku upravitelja izbora, a to bi vas čak i sigurnije - ali značajno manje prikladan. Smatramo da bi odabir ručnog pokretanja automatskog popunjavanja samo na stranicama za prijavu trebalo biti dobar sredini između sigurnosti i praktičnosti. Ako su te stranice za prijavu bile ugrožene takvim skriptom, ionako vam ništa ne bi moglo pomoći - skripta je mogla čitati vaše podatke za prijavu čak i ako ih kopirate i zalijepite ili ih ručno unesete.
Nažalost, većina upravitelja lozinki preglednika ne dopušta vam da onemogućite automatsko popunjavanje. Primjerice, ne možete onemogućiti značajku automatskog popunjavanja ako upotrebljavate ugrađeni upravitelj lozinke u pregledniku Google Chrome ili Microsoft Edge. Chrome ima opciju onemogućivanja automatskog popunjavanja, ali onemogućuje samo automatsko popunjavanje podataka kao što su adrese i telefonski brojevi, a ne lozinke. Postoji opcija za onemogućavanje automatskog popunjavanja zaporki u upravitelju zaporke Mozilla Firefox, ali je skriveno oko: config.
Ako upotrebljavate ugrađeni upravitelj zaporke u Chromeu ili Edgeu, preporučujemo vam da se prebacite na upravitelja zaporke treće strane koja nudi veću kontrolu, kao što je LastPass ili 1Password.1Poslovanje ne utječe na taj problem jer ne uključuje automatsko automatsko popunjavanje.
U LastPassu možete onemogućiti automatsko popunjavanje klikom na gumb LastPass proširenje na alatnoj traci preglednika i klikom na "Preferences".Poništite opciju "Automatski ispunite podatke o prijavi" u odjeljku Općenito, a zatim kliknite "Spremi" da biste spremili promjene.
Ako želite nastaviti koristiti Krijesnica upravitelja zaporki, trebate upisati "about: config" u Firefoxovu adresnu traku i pritisnuti Enter. Vidjet ćete zaslon upozorenja koji vas obavještava da mijenjanje različitih postavki može uzrokovati probleme. Ne brinite - ako promijenite samo jednu postavku koju istaknemo, biti ćete u redu. Kliknite "Prihvaćam rizik!" Za nastavak.
U okvir za pretraživanje upišite "autofillForms" i dvaput kliknite željenu oznaku "signon.autofillForms" da biste ga postavili na "false".Firefox više neće automatski dopunjavati korisnička imena i zaporke bez vašeg dopuštenja.
Ako upotrebljavate drugi upravitelj zaporki, trebali biste otvoriti svoje postavke i onemogućiti opciju "automatsko popunjavanje" ili "automatski popunjavanje" kako biste osigurali da upravitelj zaporke neće procuriti vaše osobne podatke.
Razvojni programeri za preglednik i lozinku moraju ponovno razmotriti upravitelje lozinki kako bi bili sigurniji. Ne bi trebali pokušati automatski ispuniti vaše podatke za prijavu na svaku web stranicu koju posjetite na određenoj web stranici. To samo traži nevolje. No, za sada možete onemogućiti automatsko popunjavanje da biste postali sigurniji.
Image Credit: vladwei / Shutterstock.com.
