광고주는 귀하를 추적 할 새로운 방법을 찾았습니다. 에 따르면 땜장이의 자유 , 이제 일부 광고 네트워크에서 비밀번호 관리자가 웹 사이트에서 자동으로 입력하는 이메일 주소를 캡처하기 위해 추적 스크립트를 악용하고 있습니다.
하지만 상황은 더 나빠집니다. 원하는 경우 해당 기술을 사용하여 암호를 캡처 할 수도 있습니다. 이는 Chrome, Firefox 또는 Edge와 같은 기본 제공 비밀번호 관리자 또는 다음과 같은 브라우저 확장 프로그램 등 비밀번호 관리자를 사용하는 모든 사용자에게 영향을 미칩니다. LastPass . 따라서 이러한 일이 발생하지 않도록 자동 완성 기능을 비활성화해야합니다.
자동 완성이 정보를 유출하는 방법
웹 사이트에 사용자 이름과 비밀번호를 저장하면 비밀번호 관리자가이를 기억합니다. 그 이후부터는 해당 웹 사이트에 표시되는 사용자 이름 및 암호 상자에 자동으로 입력하려고 시도합니다. “로그인”을 클릭하기 만하면 로그인이 빨라집니다.
그러나 거의 모든 웹 사이트에서 사용하는 일부 타사 광고 스크립트가 이러한 스크립트를 사용하여 사용자를 추적하기 시작했습니다. 백그라운드에서 실행되고 보이지 않는 가짜 로그인 및 비밀번호 상자를 만들고 비밀번호 관리자가 입력 한 자격 증명을 캡처합니다.
방문하여이 문제를 직접 확인할 수 있습니다. 이 데모 페이지 . 가짜 이메일 주소와 비밀번호를 입력하면 브라우저의 비밀번호 관리자에 저장하라는 메시지가 표시됩니다. 계속하면 이메일 주소와 비밀번호를 캡처하는 스크립트와 함께 백그라운드에서 자동으로 채워집니다.
이 데모 사이트는 현재 LastPass를 사용하는 경우 아무런 문제가 없지만 사용자 개입없이 사용자 이름과 암호를 자동으로 채우는 모든 것 (LastPass 포함)은 이론적으로 취약합니다.
어디서나 고유 한 암호가 필요하므로 암호 관리자는 여전히 필수입니다.
관련 : 암호 관리자를 사용해야하는 이유 및 시작하는 방법
이 문제는 모든 웹 사이트에서 고유 한 암호를 사용하는 것의 중요성을 보여줍니다. Freedom to Tinker에 따르면 이것은 이론적 인 공격이 아닙니다. 실제로 오늘날 상위 100 만 개 웹 사이트 중 1110 개에서 광고주가 사용하고 있습니다. 광고주는 현재이 기술을 사용하여 사용자 이름과 이메일 주소를 캡처하고 있지만, 언젠가 특히 악의적 인 분위기에 빠졌다면 비밀번호 캡처를 막을 수있는 방법은 없습니다.
광고주가 웹 사이트에서 귀하의 비밀번호를 캡처 한 경우 해당 데이터를 가진 사람이 할 수있는 최악의 행위는 해당 웹 사이트에 로그인하는 것입니다. 이상적인 것은 아니지만 일어날 수있는 최악의 일은 아닙니다. 이메일 계정에서 사용하는 것과 동일한 비밀번호를 해당 웹 사이트에 사용하면 해당 사용자가 이메일 계정에 액세스하여 다른 계정에 액세스하는 데 사용할 수 있습니다. 그건 일어날 수있는 최악의 상황.
이는 이유 여전히 비밀번호 관리자를 사용하는 것이 좋습니다. , 무슨 일이 있어도. 일반 사용자가 온라인에 보유한 모든 계정과 이러한 웹 사이트에 대한 공격 빈도를 고려할 때 방문하는 모든 사이트에 대해 고유 한 비밀번호를 사용하는 것이 중요합니다. 이를위한 가장 좋은 방법은 비밀번호 관리자를 사용하는 것입니다. 아기를 목욕물에 버리지 마세요.
자동 완성을 비활성화하여 자신을 보호하십시오
그러나 암호 관리자에서 자동 완성을 비활성화하여 이러한 스크립트로 인한 위험을 완화 할 수 있습니다. 예를 들어 LastPass (현재 이러한 스크립트의 영향을받지 않지만 이론적으로는 영향을받을 수 있음)를 사용하는 경우 자동 채우기 기능이 로그인 필드를 자격 증명으로 채우므로 "로그인"을 클릭하기 만하면됩니다. 자동 완성 기능을 비활성화 한 경우 비밀번호 입력란에서 LastPass 아이콘을 클릭하고 사용자 이름을 클릭하여 저장된 정보를 입력해야합니다. 로그인을 시도 할 때만이 작업을 수행하므로 사용자 인증 정보가 유출되지 않도록 보호해야합니다. 더 이상 모든 페이지에 뿌리지 않습니다.
또한 선택한 암호 관리자에서 사용자 이름과 암호를 복사하여 붙여 넣을 수도 있습니다. 그러면 훨씬 더 안전 해지지 만 훨씬 덜 편리합니다. 로그인 페이지에서만 자동 완성을 수동으로 시작하도록 선택하는 것이 보안과 편의성 사이의 좋은 중간 지점이되어야한다고 생각합니다. 이러한 로그인 페이지가 그러한 스크립트로 손상 되었다면 어쨌든 아무것도 도움이되지 않습니다. 스크립트는 사용자가 복사하여 붙여 넣거나 수동으로 입력하더라도 로그인 세부 정보를 읽을 수 있습니다.
안타깝게도 대부분의 브라우저 비밀번호 관리자는 자동 완성을 사용 중지하도록 허용하지 않습니다. 사용중인 경우 자동 완성 기능을 비활성화 할 방법이 없습니다. Google 크롬의 통합 비밀번호 관리자 또는 Microsoft Edge 등이 있습니다. Chrome에는 자동 완성을 비활성화하는 옵션이 있지만 비밀번호가 아닌 주소 및 전화 번호와 같은 데이터의 자동 완성 만 비활성화합니다. Mozilla Firefox의 비밀번호 관리자에서 비밀번호 자동 완성을 비활성화하는 옵션이 있지만 about : config .
Chrome 또는 Edge에 내장 된 비밀번호 관리자를 사용하는 경우 다음과 같이 더 많은 제어를 제공하는 타사 비밀번호 관리자로 전환하는 것이 좋습니다. LastPass 또는 1 암호 . 1Password는이 문제의 영향을받지 않습니다. 포함하지 않음 자동 자동 완성 기능.
LastPass에서 브라우저 도구 모음의 LastPass 확장 버튼을 클릭하고 "기본 설정"을 클릭하여 자동 완성을 비활성화 할 수 있습니다. 일반 아래의 "로그인 정보 자동 채우기"옵션을 선택 취소 한 다음 "저장"을 클릭하여 변경 사항을 저장합니다.
Firefox의 비밀번호 관리자를 계속 사용하려면 Firefox의 주소 표시 줄에 "about : config"를 입력하고 Enter 키를 눌러야합니다. 여기에서 다양한 설정을 변경하면 문제가 발생할 수 있음을 알리는 경고 화면이 표시됩니다. 걱정하지 마세요. 우리가 지적한 단일 설정 만 변경하면 괜찮습니다. "위험을 감수합니다!"를 클릭하십시오. 계속하다.
검색 상자에 "autofillForms"를 입력하고 "signon.autofillForms"기본 설정을 두 번 클릭하여 "false"로 설정합니다. Firefox는 더 이상 사용자의 허락없이 사용자 이름과 암호를 자동으로 채우지 않습니다.
다른 비밀번호 관리자를 사용하는 경우 비밀번호 관리자가 개인 정보를 유출하지 않도록 환경 설정을 열고 '자동 채우기'또는 '자동 채우기'옵션을 비활성화해야합니다.
브라우저 및 암호 관리자 개발자는 암호 관리자를 다시 생각하여 보안을 강화해야합니다. 특정 웹 사이트에서 방문하는 모든 웹 페이지의 로그인 데이터를 자동으로 채우려 고해서는 안됩니다. 그것은 단지 문제를 요구하는 것입니다. 하지만 지금은 자동 완성을 비활성화하여 보안을 강화할 수 있습니다.
이미지 크레딧 : Vlad는 /Shutterstock.com.
