14Aug
Annonsörer har hittat ett nytt sätt att spåra dig. Enligt Freedom to Tinker misslyckas några annonsnätverk nu spårningsskript för att fånga in de e-postadresser som din lösenordsansvarig fyller på webbplatser automatiskt.
Men det blir värre: de kan använda den tekniken för att fånga dina lösenord också om de ville ha det. Det här påverkar alla som använder en lösenordshanterare, oavsett om det är en inbyggd lösenordshanterare som den i Chrome, Firefox eller Edge, eller en webbläsareutvidgning som LastPass. Som ett resultat bör du förmodligen inaktivera autofyllningsfunktionen för att förhindra att detta händer.
Hur autofyll läcker din information
När du sparar ditt användarnamn och lösenord på en webbplats kommer din lösenordshanterare ihåg dem. Från det ögonblicket kommer det att försöka att automatiskt fylla dem i användarnamn och lösenordslådor som den ser på den webbplatsen. Detta gör att du registrerar dig snabbare, eftersom du bara måste klicka på "Logga in".
Men vissa tredjepartsreklamskript - de som nästan alla webbplatser där ute använder - börjar använda dessa för att spåra dig. De körs i bakgrunden, skapar falska inloggnings- och lösenordslådor som du inte ens kan se, och fångar de referenser som lösenordshanteraren fyller i dem.
Du kan se detta problem själv genom att besöka den här demonstrationssidan. Fyll i en falsk e-postadress och ett lösenord, och du blir uppmanad att spara den i din webbläsares lösenordshanterare. Fortsätt, och det blir autofyllt i bakgrunden, med skriptet som tar emot e-postadressen och lösenordet.
Denna demonstrationssida visar för närvarande inte några problem om du använder LastPass, men allt som automatiskt fyller användarnamn och lösenord utan användarintervention-LastPass included-är teoretiskt sårbar.
Du behöver unika lösenord överallt, så lösenordshanterare är fortfarande viktiga
Detta problem visar vikten av att använda unika lösenord på varje webbplats. Det är inte bara en teoretisk attack - det används faktiskt av annonsörer på 1110 av de över en miljon webbplatser idag, enligt Freedom to Tinker. Annonsörer använder just nu den här tekniken för att fånga användarnamn och e-postadresser, men det finns inget som hindrar dem från att fånga lösenord, om man var i en särskilt häftigt humör en dag.
Om en annonsör togs in med ditt lösenord på en webbplats kan den värsta någon med den data göra är att logga in på den webbplatsen. Det är inte idealiskt, men det är inte det värsta som kan hända. Om du använder samma lösenord för den webbplatsen som du gör för ditt e-postkonto kan den personen komma åt ditt e-postkonto och använda det för att få tillgång till dina andra konton. Det är det värsta som kan hända.
Det är därför vi rekommenderar att du använder en lösenordshanterare, oavsett vad. Med alla olika konton som den genomsnittliga personen har online, och frekvensen av attacker mot dessa webbplatser är det absolut nödvändigt att du använder ett unikt lösenord för varje webbplats du besöker. Det bästa sättet att göra det är med en lösenordschef - släng inte barnet ut med badvattnet.
Skydda dig själv genom att inaktivera autofyllning
Du kan dock fortfarande mildra en del av din risk från dessa skript genom att inaktivera autofyll i lösenordshanteraren. Om du till exempel använder LastPass( som för närvarande inte påverkas av dessa skript, men teoretiskt kan det) fyller autofyllningsfunktionen inloggningsfälten med dina uppgifter så att du bara kan klicka på "Logga in".Om du inaktiverar autofyllningsfunktionen måste du klicka på LastPass-ikonen i ett lösenordsfält och klicka på ditt användarnamn för att fylla din sparade information. Du gör bara detta när du försöker logga in, så det här borde skydda dina uppgifter från att bli uppköpta. Du sprutar inte längre över alla sidor.
Du kan också bara kopiera och klistra in användarnamn och lösenord från valfri lösenordsansvarig, och det skulle göra dig ännu säkrare - men betydligt mindre bekväm. Vi tycker att välja att manuellt initiera autofyll endast på inloggningssidor bör vara en bra mellanliggande mellan säkerhet och bekvämlighet. Om dessa inloggningssidor har äventyras med ett sådant skript, kan ingenting hjälpa dig, ändå - skriptet kan läsa dina inloggningsuppgifter, även om du kopierar och klistrar in eller manuellt skriver in dem.
Tyvärr tillåter de flesta webbläsares lösenordsansvariga dig inte att inaktivera autofyll. Det går inte att inaktivera autofyllningsfunktionen om du använder den integrerade lösenordshanteraren i exempelvis Google Chrome eller Microsoft Edge. Chrome har ett alternativ att inaktivera autofyll, men det avaktiverar endast autofyll av data som adresser och telefonnummer, inte lösenord. Det finns ett alternativ att inaktivera autofyll av lösenord i Mozilla Firefox lösenordshanterare, men det är gömt i om: config.
Om du använder den inbyggda lösenordshanteraren i Chrome eller Edge uppmanar vi dig att växla till en lösenordshanterare från tredje part som erbjuder mer kontroll, som LastPass eller 1Password.1Password påverkas inte av detta problem eftersom det inte innehåller en automatisk autofyllfunktion.
I LastPass kan du inaktivera autofyllning genom att klicka på LastPass-förlängningsknappen på webbläsarverktygsfältet och klicka på "Preferences".Avmarkera alternativet "Fyll automatiskt in information" under Allmänt och klicka sedan på "Spara" för att spara dina ändringar.
Om du vill fortsätta använda Firefoxs lösenordshanterare ska du skriva "About: config" i Firefox adressfält och trycka på Enter. Du får se en varningsskärm som informerar dig om att ändringar av olika inställningar här kan orsaka problem. Oroa dig inte-om du bara ändrar den enda inställningen pekar vi på att du kommer att bli bra. Klicka på "Jag accepterar risken!" För att fortsätta.
Skriv "autofillForms" i sökrutan och dubbelklicka på "signon.autofillForms" för att ställa in den till "false".Firefox kommer inte automatiskt autofyll användarnamn och lösenord utan ditt tillstånd.
Om du använder en annan lösenordshanterare bör du öppna sina inställningar och inaktivera alternativet "autofyll" eller "automatiskt fylla" för att säkerställa att lösenordshanteraren inte läcker ut din personliga information.
Utvecklare för webbläsare och lösenordshanterare behöver ompröva lösenordshanterare för att göra dem säkrare. De ska inte försöka automatiskt fylla dina inloggningsuppgifter på varje enskild webbsida du besöker på en viss webbplats. Det ber bara om problem. Men för närvarande kan du inaktivera autofyll för att göra dig säkrare.
Bildkrediter: vladwei / Shutterstock.com.