14Aug
Adverteerders hebben een nieuwe manier gevonden om u te volgen. Volgens Freedom to Tinker misbruiken een paar advertentienetwerken nu trackingscripts om de e-mailadressen vast te leggen die uw wachtwoordmanager automatisch vult op websites.
Maar het wordt nog erger: ze kunnen die technologie ook gebruiken om je wachtwoorden vast te leggen, als ze dat willen. Dit is van invloed op iedereen die een wachtwoordbeheerder gebruikt, of het nu een ingebouwde wachtwoordbeheerder is zoals die in Chrome, Firefox of Edge, of een browserextensie zoals LastPass. Als gevolg hiervan moet u waarschijnlijk de functie voor automatisch aanvullen uitschakelen om te voorkomen dat dit gebeurt.
Hoe automatisch aanvullen lekt Uw gegevens
Wanneer u uw gebruikersnaam en wachtwoord opslaat op een website, onthoudt uw wachtwoordbeheerder deze. Vanaf dat moment zal het proberen ze automatisch in te vullen in de gebruikersnaam en wachtwoordvakken die het op die website ziet. Dit maakt het aanmelden sneller, omdat je gewoon op "Inloggen" hoeft te klikken.
Maar sommige advertentiescripts van derden - degene die bijna elke website daar gebruikt - beginnen deze te gebruiken om u te volgen. Ze worden op de achtergrond uitgevoerd, creëren valse aanmeldings- en wachtwoordvakken die u niet eens kunt zien en leggen de referenties vast die uw wachtwoordbeheerder invult.
U kunt dit probleem zelf zien door deze demonstratiepagina te bezoeken. Vul een nep-e-mailadres en wachtwoord in en je wordt gevraagd om het op te slaan in de wachtwoordbeheerder van je browser. Ga door en op de achtergrond wordt automatisch ingevuld, waarbij het script het e-mailadres en wachtwoord vastlegt.
Deze demonstratiesite vertoont momenteel geen probleem als u LastPass gebruikt, maar alles wat automatisch gebruikersnamen en wachtwoorden vult zonder tussenkomst van de gebruiker - LastPass inbegrepen - is theoretisch kwetsbaar.
U hebt overal unieke wachtwoorden nodig, dus wachtwoordmanagers zijn nog steeds essentieel
Dit probleem toont aan hoe belangrijk het is om unieke wachtwoorden op elke website te gebruiken. Het is niet alleen een theoretische aanval - het wordt feitelijk door adverteerders gebruikt op 1110 van de top miljoen websites van vandaag, volgens Freedom to Tinker. Adverteerders gebruiken deze techniek momenteel alleen om gebruikersnamen en e-mailadressen vast te leggen, maar er is niets dat hen ervan weerhoudt om wachtwoorden vast te leggen, als je op een dag in een bijzonder snode bui bent.
Als een adverteerder uw wachtwoord op een website heeft vastgelegd, kan de slechtste persoon met die gegevens inloggen op die website. Dat is niet ideaal, maar het is niet het ergste dat kan gebeuren.als u hetzelfde wachtwoord voor die website gebruikt als voor uw e-mailaccount, kan die persoon vervolgens toegang krijgen tot uw e-mailaccount en deze gebruiken om toegang te krijgen tot uw andere accounts. Dat is het ergste dat kan gebeuren.
Dit is de reden waarom we nog steeds een wachtwoordmanager gebruiken, wat er ook gebeurt. Met alle verschillende accounts die de gemiddelde persoon online heeft en de frequentie van aanvallen op deze websites, is het noodzakelijk dat u een uniek wachtwoord gebruikt voor elke site die u bezoekt. De beste manier om dat te doen is met een wachtwoordbeheerder - gooi de baby niet weg met het badwater.
Bescherm uzelf door Autofill uit te schakelen
U kunt echter nog steeds een deel van uw risico van deze scripts beperken door het automatisch aanvullen uit te schakelen in uw wachtwoordbeheerder. Als u bijvoorbeeld LastPass gebruikt( wat momenteel niet door deze scripts wordt beïnvloed, maar in theorie zou kunnen zijn), vult de functie Automatisch aanvullen inlogvelden met uw referenties, zodat u eenvoudig op "Inloggen" kunt klikken. Als u de functie voor automatisch aanvullen uitschakelt, moet u op het LastPass-pictogram klikken in een wachtwoordveld en op uw gebruikersnaam klikken om uw opgeslagen informatie te vullen. U doet dit alleen wanneer u zich probeert aan te melden, dus dit moet uw inloggegevens beschermen tegen opscheppen. Je spuit ze niet langer over elke pagina.
Je kunt ook gewoon gebruikersnamen en wachtwoorden kopiëren en plakken vanuit je wachtwoordbeheerder naar keuze, en dat zou je nog veiliger maken, maar aanzienlijk minder handig. We denken dat het kiezen van handmatig invullen van automatisch aanvullen op aanmeldingspagina's een goede middenweg moet zijn tussen beveiliging en gemak. Als die inlogpagina's met zo'n script in gevaar zouden zijn, zou niets je toch kunnen helpen - het script zou je inloggegevens kunnen lezen, zelfs als je ze hebt gekopieerd en geplakt.
Helaas staan de meeste beheerders van browsers voor wachtwoordbeheer je niet toe om automatisch aanvullen uit te schakelen. U kunt de functie voor automatisch aanvullen niet uitschakelen als u bijvoorbeeld de geïntegreerde wachtwoordbeheerder in Google Chrome of Microsoft Edge gebruikt. Chrome heeft een optie om automatisch aanvullen uit te schakelen, maar schakelt alleen het automatisch aanvullen van gegevens zoals adressen en telefoonnummers en geen wachtwoorden uit. Er is een optie om automatisch invullen van wachtwoorden in de wachtwoordmanager van Mozilla Firefox uit te schakelen, maar het is verborgen in about: config.
Als u de ingebouwde wachtwoordbeheerder in Chrome of Edge gebruikt, raden we u aan over te schakelen naar een wachtwoordbeheer van derden dat meer controle biedt, zoals LastPass of 1Password.1Password wordt niet beïnvloed door dit probleem omdat het geen automatische functie voor automatisch aanvullen bevat.
In LastPass kunt u automatisch aanvullen uitschakelen door op de LastPass-extensieknop op uw browserwerkbalk te klikken en op "Voorkeuren" te klikken. Verwijder het vinkje bij de optie 'Aanmeldinformatie automatisch invullen' onder 'Algemeen' en klik vervolgens op 'Opslaan' om uw wijzigingen op te slaan.
Als u de wachtwoordbeheerder van Firefox wilt blijven gebruiken, typt u "about: config" in de adresbalk van Firefox en drukt u op Enter. Er verschijnt een waarschuwingsscherm waarin u wordt geïnformeerd dat het wijzigen van verschillende instellingen hier problemen kan veroorzaken. Maakt u zich geen zorgen: als u alleen de instelling verandert, wijzen we u aan. Klik op "Ik accepteer het risico!" Om door te gaan.
Typ "autofillForms" in het zoekvak en dubbelklik op de voorkeur "signon.autofillForms" om deze in te stellen op "false".Firefox vult gebruikersnamen en wachtwoorden niet langer automatisch in zonder uw toestemming.
Als u een ander wachtwoordbeheer gebruikt, moet u zijn voorkeuren openen en de optie "Automatisch vullen" of "Automatisch invullen" uitschakelen om ervoor te zorgen dat uw wachtwoordbeheerder uw persoonlijke gegevens niet lekt.
Browser- en wachtwoordbeheerder-ontwikkelaars moeten wachtwoordmanagers heroverwegen om ze veiliger te maken. Ze zouden niet moeten proberen om automatisch uw inloggegevens in te vullen op elke webpagina die u op een bepaalde website bezoekt. Dat is gewoon vragen om problemen. Maar voor nu kunt u autofill uitschakelen om uzelf veiliger te maken.
Image Credit: vladwei / Shutterstock.com.