14Aug
telah menemukan cara baru untuk melacak Anda. Menurut Freedom to Tinker, beberapa jaringan iklan sekarang menyalahgunakan skrip pelacakan untuk menangkap alamat email yang oleh manajer sandi Anda terisi secara otomatis di situs web.
Tapi semakin parah: mereka bisa menggunakan teknologi itu untuk menangkap kata kunci Anda juga, jika mereka mau. Hal ini memengaruhi setiap orang yang menggunakan manajer kata sandi, apakah itu pengelola kata kunci bawaan seperti yang ada di Chrome, Firefox, atau Edge, atau ekstensi browser seperti LastPass. Akibatnya, Anda mungkin harus menonaktifkan fitur isi-otomatis untuk mencegah hal ini terjadi.
Bagaimana IsiOtomatis Membocorkan Informasi Anda
Bila Anda menyimpan nama pengguna dan kata sandi Anda di situs web, manajer kata sandi Anda akan mengingatnya. Sejak saat itu, akan mencoba memasukkan mereka secara otomatis ke dalam kotak nama pengguna dan kata sandi yang dilihatnya di situs web itu. Hal ini membuat masuk lebih cepat, karena Anda hanya perlu mengklik "Login".
Tetapi beberapa skrip periklanan pihak ketiga - yang hampir setiap situs web digunakan - mulai menggunakan ini untuk melacak Anda. Mereka berjalan di latar belakang, membuat kotak masuk dan kata sandi palsu yang bahkan tidak dapat Anda lihat, dan menangkap kredensial yang dimasukkan oleh manajer kata sandi Anda ke dalamnya.
Anda dapat melihat masalah ini sendiri dengan mengunjungi halaman demo ini. Isi alamat email dan kata sandi palsu, dan Anda akan diminta untuk menyimpannya di pengelola kata kunci browser Anda. Lanjutkan, dan akan diotomatiskan di latar belakang, dengan script menangkap alamat email dan kata sandi.
Situs demonstrasi saat ini tidak menunjukkan masalah jika Anda menggunakan LastPass, tapi apa pun yang secara otomatis mengisi nama pengguna dan kata sandi tanpa campur tangan pengguna - termasuk LastPass - secara teoritis rentan.
Anda Membutuhkan Sandi Unik di Mana Saja, Jadi Manajer Sandi Masih Penting
Masalah ini menunjukkan pentingnya menggunakan kata kunci unik di setiap situs web. Ini bukan hanya serangan teoritis-ini sebenarnya digunakan oleh pengiklan di 1110 dari satu juta situs teratas saat ini, menurut Freedom to Tinker. Pengiklan saat ini hanya menggunakan teknik ini untuk menangkap nama pengguna dan alamat email, namun tidak ada yang menghentikan mereka untuk menangkap kata kunci juga, jika seseorang dalam suasana hati yang sangat jahat suatu saat nanti.
Jika pengiklan menangkap kata kunci Anda di situs web, orang terburuk dengan data tersebut bisa masuk ke situs web itu. Itu tidak ideal, tapi itu bukan hal terburuk yang bisa terjadi. Jika Anda menggunakan kata kunci yang sama untuk situs web seperti yang Anda lakukan untuk akun email Anda, orang tersebut kemudian dapat mengakses akun email Anda dan menggunakannya untuk mendapatkan akses ke akun Anda yang lain. Itu yang terburuk yang bisa terjadi.
Inilah sebabnya mengapa kami masih merekomendasikan penggunaan manajer kata sandi, tidak peduli apa. Dengan semua akun berbeda yang dimiliki rata-rata orang online, dan frekuensi serangan terhadap situs web ini, sangat penting bahwa Anda menggunakan kata kunci unik untuk setiap situs yang Anda kunjungi. Cara terbaik untuk melakukannya adalah dengan manajer password-jangan membuang bayi itu keluar dengan air mandi.
Lindungi Diri Sendiri Dengan Menonaktifkan Isi Ulang
Namun, Anda masih dapat mengurangi sebagian risiko Anda dari skrip ini dengan menonaktifkan penguncian otomatis di pengelola kata sandi Anda. Misalnya, jika Anda menggunakan LastPass( yang saat ini tidak terpengaruh oleh skrip ini, namun secara teoretis dapat terjadi), fitur isi otomatis mengisi kolom info masuk dengan kredensial Anda sehingga Anda bisa mengklik "Login".Jika Anda menonaktifkan fitur isiotomatis, Anda harus mengklik ikon LastPass di kolom kata sandi dan klik nama pengguna Anda untuk mengisi informasi tersimpan Anda. Anda hanya akan melakukan ini saat mencoba masuk, jadi ini harus melindungi kredensial Anda agar tidak diraup. Anda tidak lagi menyemprotnya ke semua halaman.
Anda juga bisa hanya menyalin dan menempel nama pengguna dan kata sandi dari manajer kata sandi pilihan Anda, dan itu akan membuat Anda lebih aman - namun secara signifikan kurang nyaman. Kami pikir memilih untuk melakukan autofill secara manual hanya pada halaman login harus menjadi jalan tengah yang baik antara keamanan dan kenyamanan. Jika halaman-halaman login itu dikompromikan dengan skrip seperti itu, tidak ada yang bisa membantu Anda, contohnya - bisa membaca detail login Anda bahkan jika Anda menyalin dan menyisipkan atau mengetiknya secara manual.
Sayangnya, sebagian besar pengelola sandi browser tidak mengizinkan Anda untuk menonaktifkan isiotomatis. Tidak ada cara untuk menonaktifkan fitur isiotomatis jika Anda menggunakan pengelola kata kunci terpadu di Google Chrome atau Microsoft Edge, misalnya. Chrome memang memiliki opsi untuk menonaktifkan isiotomatis, namun hanya menonaktifkan data isi-otomatis seperti alamat dan nomor telepon, bukan kata sandi. Ada pilihan untuk menonaktifkan isi kata sandi secara otomatis di pengelola kata kunci Mozilla Firefox, tapi tersembunyi di about: config.
Jika Anda menggunakan pengelola kata sandi bawaan di Chrome atau Edge, sebaiknya beralih ke pengelola kata kunci pihak ketiga yang menawarkan kontrol lebih besar, seperti LastPass atau 1Password.1Password tidak terpengaruh oleh masalah ini karena tidak termasuk fitur autofill otomatis.
Di LastPass, Anda dapat menonaktifkan IsiOtomatis dengan mengklik tombol ekstensi LastPass pada bilah alat browser Anda dan mengeklik "Preferensi".Hapus centang pada opsi "Isi Otomatis Informasi Masuk Secara Otomatis" di bawah Umum dan kemudian klik "Simpan" untuk menyimpan perubahan Anda.
Jika Anda ingin terus menggunakan pengelola kata kunci Firefox, Anda harus mengetikkan "about: config" ke bilah alamat Firefox dan tekan Enter. Anda akan melihat layar peringatan yang memberitahu Anda bahwa mengubah berbagai pengaturan di sini dapat menyebabkan masalah. Jangan khawatir-jika Anda hanya mengubah setting tunggal yang kami tunjukkan, Anda akan baik-baik saja. Klik "Saya menerima risikonya!" Untuk melanjutkan.
Ketik "autofillForms" ke dalam kotak telusur dan klik dua kali opsi "signon.autofillForms" untuk menyetelnya ke "false".Firefox tidak akan lagi mengautotasi nama pengguna dan kata sandi tanpa izin Anda.
Jika Anda menggunakan manajer kata sandi lain, Anda harus membuka preferensi dan menonaktifkan pilihan "isiotomatis" atau "otomatis mengisi" untuk memastikan manajer kata kunci Anda tidak akan membocorkan informasi pribadi Anda.
Pengembang perancang browser dan kata sandi perlu memikirkan kembali pengelola kata sandi untuk membuatnya lebih aman. Mereka tidak boleh secara otomatis mengisi data login Anda di setiap halaman web yang Anda kunjungi di situs web tertentu. Itu hanya meminta masalah. Tapi, untuk saat ini, Anda bisa menonaktifkan autofill agar lebih aman.
Image Credit: vladwei / Shutterstock.com.