14Aug
Os anunciantes encontraram uma nova maneira de rastreá-lo. De acordo com a Freedom to Tinker, algumas redes publicitárias agora estão abusando de scripts de rastreamento para capturar os endereços de e-mail que seu gerenciador de senhas enche-se automaticamente em sites.
Mas piora: eles poderiam usar essa tecnologia para capturar suas senhas também, se quisessem. Isso afeta todos usando um gerenciador de senhas, seja um gerenciador de senha embutido como o de Chrome, Firefox ou Edge, ou uma extensão de navegador como o LastPass. Como resultado, você provavelmente deve desativar o recurso de preenchimento automático para evitar que isso aconteça.
Como o Autofill está vazando suas informações
Quando você salva seu nome de usuário e senha em um site, seu gerenciador de senhas os lembra. A partir desse ponto, tentará preenchê-los automaticamente nas caixas de nome de usuário e senha que vê nesse site. Isso faz com que a conexão seja mais rápida, pois você só precisa clicar em "Login".
Mas alguns scripts de publicidade de terceiros - aqueles que quase todos os sites usam - estão começando a usá-los para acompanhá-lo. Eles correm em segundo plano, criam caixas de login e senha falsas que você nem pode ver e captura as credenciais que seu gerenciador de senhas preenche.
Você pode ver este problema sozinho visitando esta página de demonstração. Preencha um endereço de e-mail e uma senha falsos, e você será solicitado a salvá-lo no gerenciador de senhas do seu navegador. Continue, e será preenchido automaticamente em segundo plano, com o script capturando o endereço de e-mail e a senha.
Este site de demonstração atualmente não mostra nenhum problema se você usa o LastPass, mas qualquer coisa que preenche automaticamente nomes de usuário e senhas sem intervenção do usuário - o LastPass incluído - seja teoricamente vulnerável.
Você precisa de senhas únicas em todo lugar, então os gerenciadores de senha ainda são essenciais
Esse problema demonstra a importância de usar senhas exclusivas em todos os sites. Não é apenas um ataque teórico - na verdade, está sendo usado por anunciantes em 1110 do top one million websites hoje, de acordo com Freedom to Tinker. Atualmente, os anunciantes estão usando esta técnica para capturar nomes de usuários e endereços de e-mail, mas não há nada que os impeça de capturar senhas também, se alguém tivesse um humor particularmente nefasto algum dia.
Se um anunciante capturar sua senha em um site, a pior pessoa com esses dados poderia fazer é entrar nesse site. Isso não é ideal, mas não é o pior que pode acontecer. Se você usar a mesma senha desse site como você faz para sua conta de e-mail, essa pessoa poderá acessar sua conta de e-mail e usá-la para acessar suas outras contas. Isso é o pior que poderia acontecer.
É por isso que ainda recomendamos usar um gerenciador de senhas, não importa o que. Com todas as contas diferentes, a pessoa média tem online e a freqüência de ataques contra esses sites, é imperativo que você use uma senha exclusiva para cada site que você visita. A melhor maneira de fazer isso é com um gerente de senha - não jogue o bebê com a água do banho.
Proteja-se desabilitando o preenchimento automático do
No entanto, você ainda pode atenuar algum risco dos scripts desabilitando o preenchimento automático no seu gerenciador de senhas. Por exemplo, se você usar o LastPass( que atualmente não é afetado por esses scripts, mas teoricamente pode ser), o recurso de preenchimento automático enche os campos de login com suas credenciais para que você possa clicar em "Login".Se você desativar o recurso de preenchimento automático, você terá que clicar no ícone do LastPass em um campo de senha e clicar no seu nome de usuário para preencher suas informações salvas. Você só fará isso ao tentar fazer login, então isso deve proteger suas credenciais de serem adquiridas. Você não está mais pulverizando-os em todas as páginas.
Você também pode simplesmente copiar e colar nomes de usuário e senhas do seu gerenciador de senhas de escolha, o que tornará você ainda mais seguro - mas significativamente menos conveniente. Nós pensamos que escolher iniciar manualmente o preenchimento automático somente em páginas de login deve ser um bom meio termo entre segurança e conveniência. Se essas páginas de login foram comprometidas com esse script, nada poderia ajudá-lo, de qualquer maneira - o script poderia ler seus detalhes de login mesmo se você copiar e colar ou digitá-los manualmente.
Infelizmente, a maioria dos gerenciadores de senha do navegador não permitem que você desative o preenchimento automático. Não há como desativar o recurso de preenchimento automático se você estiver usando o gerenciador de senhas integrado no Google Chrome ou no Microsoft Edge, por exemplo. O Chrome possui uma opção para desativar o preenchimento automático, mas só desativa o preenchimento automático de dados, como endereços e números de telefone, e não senhas. Existe uma opção para desativar o preenchimento automático de senhas no gerenciador de senhas do Mozilla Firefox, mas está escondido em torno de: config.
Se você estiver usando o gerenciador de senhas embutido no Chrome ou no Edge, encorajamos você a mudar para um gerenciador de senhas de terceiros que ofereça mais controle, como LastPass ou 1Password.1Password não é afetado por esse problema porque não inclui um recurso de preenchimento automático automático.
No LastPass, você pode desativar o preenchimento automático clicando no botão de extensão do LastPass na barra de ferramentas do seu navegador e clicando em "Preferências".Desmarque a opção "Informações de login de preenchimento automático" em Geral e, em seguida, clique em "Salvar" para salvar suas alterações.
Se você deseja continuar usando o gerenciador de senhas do Firefox, digite "about: config" na barra de endereços do Firefox e pressione Enter. Você verá uma tela de aviso informando que alterar várias configurações aqui pode causar problemas. Não se preocupe - se você apenas mudar a configuração única que indicamos, você estará bem. Clique em "Aceito o risco!" Para continuar.
Digite "autofillForms" na caixa de pesquisa e clique duas vezes na preferência "signon.autofillForms" para configurá-lo como "falso".O Firefox não será mais o preenchimento automático de nomes de usuários e senhas sem sua permissão.
Se você estiver usando outro gerenciador de senhas, você deve abrir suas preferências e desativar a opção "preencher automaticamente" ou "preencher automaticamente" para garantir que seu gerenciador de senhas não vazará suas informações pessoais.
Os desenvolvedores do navegador e do gerenciador de senhas precisam repensar os gerenciadores de senhas para torná-los mais seguros. Eles não devem tentar preencher automaticamente seus dados de login em todas as páginas da web que você visita em um site específico. Isso é só pedir problemas. Mas, por enquanto, você pode desativar o preenchimento automático para tornar-se mais seguro.
Image Credit: vladwei / Shutterstock.com.