14Aug
Reklamverenler sizi takip etmek için yeni bir yol buldu. Tinker'ın Özgürlüğüne göre, birkaç reklam ağı şimdi şifre yöneticinizin web sitelerinde otomatik olarak doldurduğu e-posta adreslerini yakalamak için izleme komutlarını kötüye kullanıyor.
Ancak daha da kötüye gidiyor: İsteseler, bu teknolojiyi şifrelerinizi de yakalamak için kullanabilirler. Bu, Chrome, Firefox veya Edge'deki gibi dahili bir şifre yöneticisi olsun veya LastPass gibi bir tarayıcı uzantısı olsun, bir şifre yöneticisi kullanan herkesi etkiliyor. Bunun bir sonucu olarak, bunun olmasını önlemek için otomatik doldurma özelliğini muhtemelen devre dışı bırakmalısınız.
Otomatik Doldurma Bilgilerinizi Nasıl Sızdırıyor
Kullanıcı adınızı ve parolanızı bir web sitesine kaydettiğinizde, parola yöneticiniz onları hatırlar. Bu noktadan sonra, bu web sitesinde gördüğü kullanıcı adı ve şifre kutularına onları otomatik olarak doldurmaya çalışacaktır. Bu, oturum açmayı daha hızlı yapar; yalnızca "Giriş" seçeneğini tıklamanız gerekir.
Ancak, neredeyse tüm web sitelerinin kullandığı bazı üçüncü taraf reklamcılık komut dosyaları- sizi takip etmek için bunları kullanmaya başlıyor. Arka planda çalışırlar, göremediğiniz sahte oturum açma ve şifre kutuları oluştururlar ve parola yöneticinizin bunlara yaptığı kimlik bilgilerini yakalarlar.
Bu gösteri sayfasını ziyaret ederek bu sorunu kendiniz görebilirsiniz. Sahte bir e-posta adresi ve parolası girin ve tarayıcınızın şifre yöneticisine kaydetmeniz istenir. Devam et ve komut dosyası e-posta adresini ve şifreyi yakalayarak arka planda otomatik dolum al.
Bu gösteri sitesi, LastPass'ı kullanırsanız günümüzde herhangi bir problem göstermemektedir; kullanıcı adını ve şifrelerini LastPass içermeyen kullanıcı müdahalesi ile otomatik olarak dolduran her şey teorik açıdan savunmasızdır.
Her yerde Eşsiz Parolalar İhtiyacınız Var, Parola Yöneticileri Hâlâ Zorunludur
Bu problem, her web sitesinde benzersiz şifrelerin kullanılmasının önemini göstermektedir. Tinker'a Özgürlük'e göre, sadece teorik bir saldırı değil, bugün bir milyonun üstünde 1110 web sitesinde reklamverenler tarafından kullanılıyor. Reklamverenler şu anda kullanıcı adlarını ve e-posta adreslerini yakalamak için bu tekniği kullanıyor ancak bir gün özellikle hain bir durumdaysa, şifreleri de yakalamalarını engelleyen hiçbir şey yok.
Bir reklamveren bir web sitesinde şifrenizi yakaladıysa, bu verilere sahip birinin yapabilecekleri en kötüsü o web sitesinde oturum açmaktır. Bu ideal değil, ancak bu olabilecek en kötü şey değil.bu web sitesi için e-posta hesabınız için yaptığınız gibi aynı şifreyi kullanırsanız, o kişi e-posta hesabınıza erişebilir ve diğer hesaplarınıza erişmek için bu şifreyi kullanabilir. Bu olabilecek en kötü şey.
Bu nedenle, ne olursa olsun, yine de bir şifre yöneticisi kullanmanızı öneririz nedeni budur. Ortalama bir kişinin çevrimiçi olduğu çeşitli hesaplarla ve bu web sitelerine yönelik saldırıların sıklığı nedeniyle ziyaret ettiğiniz her site için benzersiz bir şifre kullanmanız şarttır. Bunu yapmanın en iyi yolu, bir şifre yöneticisidir - bebeği banyo suyuyla atmayın.
Otomatik Doldurmayı Devre Dışı Bırakarak Kendinizi Koruyun
Ancak şifre yöneticinizdeki otomatik doldurmayı devre dışı bırakarak bu komut dosyalarından kaynaklanan riskinizden bir kısmını hafifletebilirsiniz.Örneğin, LastPass'i( şu anda bu komut dosyalarından etkilenmeyen, ancak teorik olarak da olabilir) kullanırsanız, otomatik doldurma özelliği oturum açma alanlarını kimlik bilgilerinizle doldurarak "Giriş" i tıklatabilir. Otomatik doldurma özelliğini devre dışı bırakırsanız, bir şifre alanındaki LastPass simgesini tıklatmanız ve kayıtlı bilgilerinizi doldurmak için kullanıcı adınızı tıklamanız gerekir. Bunu, yalnızca oturum açmaya çalışırken yapacaksın; bu nedenle, bu, kimlik bilgilerinin kazınmasını önlemelidir. Artık her sayfanın üzerine hepsini püskürtmezsiniz.
İsteğe bağlı şifre yöneticinizden kullanıcı adlarını ve şifreleri kopyalayıp yapıştırabilirsiniz ve bu sizi daha da güvenli hale getirebilir-ancak önemli ölçüde daha az kullanışlı olacaktır. Otomatik olarak doldurmayı yalnızca giriş sayfalarında başlatmayı seçmenin güvenlik ve kolaylık arasında iyi bir orta yer olması gerektiğini düşünüyoruz. Bu giriş sayfaları böyle bir komut dosyası ile ele geçirilirse, yine de hiçbir şey size yardımcı olamazdı - komut dosyası kopyalayıp yapıştırın veya manuel olarak yazdıysanız bile, giriş bilgilerinizi okuyabilir.
Maalesef, tarayıcı şifre yöneticilerinin çoğu, otomatik doldurmayı devre dışı bırakmanıza izin vermiyor.Örneğin, entegre şifre yöneticisini Google Chrome'da veya Microsoft Edge'de kullanıyorsanız, otomatik doldurma özelliğini devre dışı bırakmanın bir yolu yoktur. Chrome'un otomatik doldurmayı devre dışı bırakma seçeneğine sahipken yalnızca şifreleri değil adresleri ve telefon numaralarını otomatik olarak doldurmasını devre dışı bırakır. Mozilla Firefox'un şifre yöneticisindeki şifrelerin otomatik olarak doldurulmasını devre dışı bırakma seçeneği vardır, ancak about: config'de gizlidir.
Chrome veya Edge'de dahili şifre yöneticisi kullanıyorsanız LastPass veya 1Password gibi daha fazla kontrol imkanı sunan bir üçüncü taraf şifre yöneticisine geçmenizi öneririz.1 Otomatik olarak otomatik doldurma özelliği içermediği için bu sözcük, parola tarafından etkilenmez.
LastPass'te, tarayıcı araç çubuğunuzdaki LastPass uzantı düğmesini tıklayıp "Tercihler" i tıklayarak otomatik doldurmayı devre dışı bırakabilirsiniz. Genel'in altındaki "Otomatik Olarak Dolgu Bilgisi" seçeneğini kaldırın ve ardından değişikliklerinizi kaydetmek için "Kaydet" düğmesine tıklayın.
Firefox'un parola yöneticisini kullanmaya devam etmek istiyorsanız, Firefox'un adres çubuğuna "about: config" yazıp Enter tuşuna basın. Buradaki çeşitli ayarları değiştirmenin sorunlara neden olabileceğini bildiren bir uyarı ekranı görürsünüz. Endişelenmeyin - işaret ettiğimiz tek bir ayarı değiştirirseniz iyi olur. Devam etmek için "Riski kabul ediyorum!"
Arama kutusuna "autofillForms" yazın ve "signon.autofillForms" tercihini "false" olarak ayarlamak için çift tıklayın. Firefox, artık kullanıcı adlarını ve şifrelerini izniniz olmadan otomatik doldurmayacaktır.
Başka bir şifre yöneticisi kullanıyorsanız, şifre yöneticinizin kişisel bilgilerinizi sızdırmamasını sağlamak için tercihlerini açmanız ve "otomatik doldurma" veya "otomatik doldur" seçeneğini devre dışı bırakmanız gerekir.
Tarayıcı ve şifre yöneticisi geliştiricilerinin, onları daha güvenli hale getirmek için şifre yöneticilerini yeniden düşünmeleri gerekir. Belirli bir web sitesinde ziyaret ettiğiniz her web sayfasında oturum açma verilerinizi otomatik olarak doldurmaya çalışmamalıdırlar. Bu sadece sorun arıyor. Fakat şimdilik, otomatik doldurmayı kendinizi daha güvenli hale getirmek için devre dışı bırakabilirsiniz.
Resim Kredisi: vladwei / Shutterstock.com.
