14Aug
Gli inserzionisti hanno trovato un nuovo modo per rintracciarti. Secondo Freedom to Tinker, alcune reti pubblicitarie stanno ora abusando di script di tracciamento per acquisire gli indirizzi email che il tuo gestore di password riempie automaticamente sui siti web.
Ma peggiora: potrebbero usare quella tecnologia per catturare anche le tue password, se lo volessero. Ciò riguarda tutti coloro che utilizzano un gestore di password, sia che si tratti di un gestore di password integrato come quello di Chrome, Firefox o Edge, o un'estensione del browser come LastPass. Di conseguenza, dovresti probabilmente disabilitare la funzione di riempimento automatico per evitare che ciò accada.
In che modo la compilazione automatica perde le informazioni
Quando si salvano nome utente e password su un sito Web, il gestore password li ricorda. Da quel momento in avanti, cercherà di riempirli automaticamente in caselle di nome utente e password che vede su quel sito. Questo rende la registrazione più veloce, basta fare clic su "Accedi".
Ma alcuni script pubblicitari di terze parti, quelli che quasi tutti i siti Web utilizzano, stanno iniziando a usarli per rintracciarti. Funzionano in background, creano finestre di login e password false che non riesci nemmeno a vedere e catturano le credenziali che il tuo gestore di password inserisce in esse.
Puoi vedere questo problema da solo visitando questa pagina di dimostrazione. Inserisci un indirizzo e-mail e una password falsi e ti verrà richiesto di salvarlo nel gestore di password del tuo browser. Continua, e sarà autofilled in background, con lo script che cattura l'indirizzo email e la password.
Questo sito dimostrativo non presenta attualmente alcun problema se si utilizza LastPass, ma qualsiasi cosa che riempie automaticamente nomi utente e password senza intervento da parte dell'utente, incluso LastPass, è teoricamente vulnerabile.
Hai bisogno di password uniche ovunque, quindi i gestori di password sono ancora essenziali
Questo problema dimostra l'importanza di utilizzare password uniche su ogni sito web. Non è solo un attacco teorico, è in realtà utilizzato dagli inserzionisti su 1110 tra i primi milioni di siti Web oggi, secondo Freedom to Tinker. Gli inserzionisti stanno attualmente utilizzando questa tecnica per catturare nomi utente e indirizzi email, ma non c'è nulla che impedisca loro di catturare le password, se un giorno uno di loro fosse particolarmente nefasto.
Se un inserzionista ha catturato la tua password su un sito Web, la peggiore persona con cui i dati potrebbero fare è accedere a quel sito web. Non è l'ideale, ma non è la cosa peggiore che potrebbe accadere.se si utilizza la stessa password per quel sito Web come per il proprio account di posta elettronica, tale persona potrebbe quindi accedere al proprio account di posta elettronica e utilizzarlo per accedere agli altri account. Questo è il peggiore che potrebbe accadere.
Questo è il motivo per cui raccomandiamo ancora l'uso di un gestore di password, non importa quale. Con tutti i diversi account che la persona media ha online e la frequenza degli attacchi contro questi siti Web, è assolutamente necessario utilizzare una password univoca per ogni sito che visiti. Il modo migliore per farlo è con un gestore di password: non buttare il bambino con l'acqua sporca.
Proteggi te disabilitando il riempimento automatico
Tuttavia, puoi comunque ridurre alcuni dei tuoi rischi da questi script disabilitando il riempimento automatico nel tuo gestore di password. Ad esempio, se si utilizza LastPass( che non è attualmente interessato da questi script, ma teoricamente potrebbe essere), la funzione di riempimento automatico riempie i campi di accesso con le proprie credenziali in modo che sia sufficiente fare clic su "Accedi".Se si disattiva la funzione di riempimento automatico, sarà necessario fare clic sull'icona LastPass in un campo password e fare clic sul nome utente per riempire le informazioni salvate. Lo farai solo quando proverai ad accedere, quindi questo dovrebbe proteggere le tue credenziali dall'essere recuperate. Non li stai più spruzzando su tutte le pagine.
Potresti anche solo copiare e incollare nomi utente e password dal tuo gestore di password di scelta, e questo ti renderebbe ancora più sicuro, ma significativamente meno conveniente. Riteniamo che la scelta di avviare manualmente la compilazione automatica solo nelle pagine di accesso dovrebbe costituire una buona via di mezzo tra sicurezza e convenienza. Se quelle pagine di accesso sono state compromesse con tale script, nulla potrebbe aiutarti comunque: lo script potrebbe leggere i tuoi dati di accesso anche se li hai copiati e incollati manualmente o inseriti manualmente.
Sfortunatamente, la maggior parte dei gestori di password del browser non ti permettono di disabilitare la compilazione automatica. Ad esempio, non è possibile disabilitare la funzione di riempimento automatico se utilizzi il gestore delle password integrato in Google Chrome o Microsoft Edge. Chrome ha un'opzione per disabilitare il riempimento automatico, ma disattiva solo il riempimento automatico dei dati come indirizzi e numeri di telefono, non le password. C'è un'opzione per disabilitare il riempimento automatico delle password nel gestore delle password di Mozilla Firefox, ma è nascosto in about: config.
Se utilizzi la gestione password integrata in Chrome o Edge, ti invitiamo a passare a un gestore di password di terze parti che offre un maggiore controllo, come LastPass o 1Password.1Password non è interessato da questo problema perché non include una funzione di riempimento automatico automatico.
In LastPass, puoi disattivare il riempimento automatico facendo clic sul pulsante dell'estensione LastPass sulla barra degli strumenti del browser e facendo clic su "Preferenze".Deseleziona l'opzione "Compila automaticamente le informazioni di accesso" sotto Generale e quindi fai clic su "Salva" per salvare le modifiche.
Se si desidera continuare a utilizzare il gestore password di Firefox, è necessario digitare "about: config" nella barra degli indirizzi di Firefox e premere Invio. Verrà visualizzata una schermata di avviso per informarti che la modifica di varie impostazioni qui potrebbe causare problemi. Non ti preoccupare, se cambi la singola impostazione che ti viene indicata, starai bene. Fai clic su "Accetto il rischio!" Per continuare.
Digitare "autofillForms" nella casella di ricerca e fare doppio clic sulla preferenza "signon.autofillForms" per impostarla su "false".Firefox non compilerà automaticamente nomi utente e password senza la tua autorizzazione.
Se stai utilizzando un altro gestore di password, devi aprire le sue preferenze e disabilitare l'opzione "riempimento automatico" o "riempimento automatico" per assicurarti che il tuo gestore di password non perderà le tue informazioni personali. Gli sviluppatori di browser e password manager
devono ripensare i gestori di password per renderli più sicuri. Non dovrebbero cercare di riempire automaticamente i dati di accesso su ogni singola pagina Web visitata su un determinato sito Web. Questo è solo un problema. Ma, per ora, puoi disattivare il riempimento automatico per renderti più sicuro. Credito immagine
: vladwei / Shutterstock.com.