Рекламодавці знайшли новий спосіб відстеження вас. Відповідно до Свобода Тинкер , кілька рекламних мереж зараз зловживають сценаріями відстеження, щоб зафіксувати адреси електронної пошти, які менеджер паролів автоматично заповнює на веб-сайтах.
Але це стає гірше: вони можуть використовувати цю технологію для захоплення ваших паролів, якщо вони цього хочуть. Це впливає на всіх, хто використовує менеджер паролів, будь то вбудований менеджер паролів, такий як той у Chrome, Firefox чи Edge, або розширення браузера, як LastPass . В результаті, можливо, вам слід вимкнути функцію автозаповнення, щоб цього не сталося.
Як автозаповнення просочує вашу інформацію
Коли ви зберігаєте своє ім’я користувача та пароль на веб-сайті, менеджер паролів запам’ятовує їх. З цього моменту він намагатиметься автоматично заповнювати їх у вікнах імені користувача та пароля, які він бачить на цьому веб-сайті. Це робить вхід швидшим, оскільки вам просто потрібно натиснути «Вхід».
Але деякі сторонні рекламні сценарії - ті, якими користується майже кожен веб-сайт, - починають використовувати ці для відстеження вас. Вони працюють у фоновому режимі, створюють підроблені поля для входу та пароля, яких ви навіть не бачите, і фіксує облікові дані, які вводить у них менеджер паролів.
Ви можете переконатися в цій проблемі самі, відвідавши на цій демонстраційній сторінці . Введіть фальшиву електронну адресу та пароль, і вам буде запропоновано зберегти їх у менеджері паролів вашого браузера. Продовжуйте, і він буде автоматично заповнений у фоновому режимі, при цьому сценарій фіксує адресу електронної пошти та пароль.
Наразі цей демонстраційний сайт не відображає жодних проблем, якщо ви використовуєте LastPass, але все, що автоматично заповнює імена користувачів та паролі без втручання користувача - включаючи LastPass - теоретично вразливе.
Вам потрібні унікальні паролі скрізь, тому менеджери паролів все ще необхідні
ПОВ'ЯЗАНІ: Чому слід використовувати менеджер паролів та як розпочати
Ця проблема демонструє важливість використання унікальних паролів на кожному веб-сайті. Це не просто теоретична атака - вона фактично використовується рекламодавцями на 1110 із мільйона найкращих веб-сайтів сьогодні, повідомляє Freedom to Tinker. На даний момент рекламодавці просто використовують цю техніку для фіксації імен користувачів та електронних адрес, але ніщо не заважає їм також захоплювати паролі, якщо хтось колись був у особливо підлому настрої.
Якщо рекламодавець захопив ваш пароль на веб-сайті, найгірше, що хтось із цими даними міг зробити, це увійти на цей веб-сайт. Це не ідеально, але це не найгірше, що могло статися. якщо ви використовуєте той самий пароль для цього веб-сайту, що і для свого облікового запису електронної пошти, ця особа може отримати доступ до вашого облікового запису електронної пошти та використовувати його для отримання доступу до інших ваших облікових записів. Це найгірше, що могло статися.
Ось чому ми все ще рекомендуємо використовувати менеджер паролів , що б не трапилося. З урахуванням усіх різних облікових записів, якими користується пересічна людина в Інтернеті, і частоти атак на ці веб-сайти, обов’язково потрібно використовувати унікальний пароль для кожного веб-сайту, який ви відвідуєте. Найкращий спосіб зробити це за допомогою менеджера паролів - не викидати дитину з ванною.
Захистіть себе, вимкнувши автозаповнення
Тим не менш, ви все ще можете зменшити деякі ризики від цих сценаріїв, вимкнувши автоматичне заповнення в диспетчері паролів. Наприклад, якщо ви використовуєте LastPass (який на даний момент не зачіпається цими сценаріями, але теоретично може бути), функція автозаповнення заповнює поля для входу з вашими обліковими даними, так що ви можете просто натиснути «Вхід». Якщо ви вимкнете функцію автозаповнення, вам потрібно буде натиснути піктограму LastPass у полі пароля та натиснути своє ім’я користувача, щоб заповнити збережену інформацію. Ви будете робити це лише під час спроби ввійти в систему, тому це повинно захистити ваші облікові дані від забирання. Ви більше не розпилюєте їх по всій сторінці.
Ви також можете просто скопіювати та вставити імена користувачів та паролі з обраного вами менеджера паролів, і це зробить вас ще безпечнішими, але значно менш зручними. Ми вважаємо, що вибір ручного заповнення автозаповнення лише на сторінках входу повинен бути добрим посередництвом між безпекою та зручністю. Якщо ці сторінки входу були скомпрометовані таким сценарієм, у будь-якому випадку вам ніщо не могло б допомогти - скрипт міг би прочитати ваші дані для входу, навіть якщо ви скопіювали та вставили їх або ввели вручну.
На жаль, більшість менеджерів паролів браузера не дозволяють вимкнути автозаповнення. Немає можливості вимкнути функцію автозаповнення, якщо ви використовуєте вбудований менеджер паролів у Google Chrome або Microsoft Edge, наприклад. Chrome дійсно має можливість вимкнути автозаповнення, але він вимикає лише автозаповнення даних, таких як адреси та номери телефонів, а не паролі. У менеджері паролів Mozilla Firefox є можливість вимкнути автозаповнення паролів, але це приховано в близько: config .
Якщо ви використовуєте вбудований менеджер паролів у Chrome або Edge, радимо вам перейти на сторонній менеджер паролів, який пропонує більше контролю, наприклад LastPass або 1Пароль . 1Password ця проблема не впливає, оскільки вона не включає функція автоматичного заповнення.
У LastPass ви можете вимкнути автозаповнення, натиснувши кнопку розширення LastPass на панелі інструментів вашого браузера та натиснувши “Налаштування”. Зніміть прапорець біля пункту «Автоматично заповнювати дані для входу» в розділі «Загальні», а потім натисніть «Зберегти», щоб зберегти зміни.
Якщо ви хочете продовжувати використовувати менеджер паролів Firefox, слід ввести “about: config” в адресний рядок Firefox і натиснути Enter. Ви побачите екран попередження, який повідомляє, що зміна різних налаштувань тут може спричинити проблеми. Не хвилюйтеся - якщо ви просто зміните єдиний параметр, на який ми вказуємо, у вас все буде добре. Натисніть "Я приймаю ризик!" продовжувати.
Введіть “autofillForms” у вікно пошуку та двічі клацніть параметр “signon.autofillForms”, щоб встановити для нього значення “false”. Firefox більше не буде автоматично заповнювати імена користувачів та паролі без вашого дозволу.
Якщо ви використовуєте інший менеджер паролів, вам слід відкрити його налаштування та відключити опцію "автозаповнення" або "автоматичне заповнення", щоб ваш менеджер паролів не пропускав вашу особисту інформацію.
Розробникам браузерів та менеджерів паролів потрібно переосмислити менеджери паролів, щоб зробити їх більш безпечними. Вони не повинні намагатися автоматично заповнювати ваші дані для входу на кожну веб-сторінку, яку ви відвідуєте на певному веб-сайті. Це просто прохання про неприємності. Наразі ви можете вимкнути автозаповнення, щоб зробити себе більш безпечним.
Кредит зображення: Влад є /Shutterstock.com.
