Вы должны отключить автозаполнение в менеджере паролей
Рекламодатели нашли новый способ отслеживать вас. Согласно Freedom to Tinker, некоторые рекламные сети в настоящее время используют скрипты отслеживания для захвата адресов электронной почты, которые ваш менеджер паролей автоматически заполняет на веб-сайтах..
Но это становится еще хуже: они могли бы использовать эту технологию и для захвата ваших паролей, если бы захотели. Это касается всех, кто использует менеджер паролей, будь то встроенный менеджер паролей, такой как в Chrome, Firefox или Edge, или расширение для браузера, такое как LastPass. В результате вам, вероятно, следует отключить функцию автозаполнения, чтобы этого не происходило..
Как автозаполнение утечки вашей информации
Когда вы сохраняете свое имя пользователя и пароль на веб-сайте, ваш менеджер паролей запоминает их. С этого момента он будет пытаться автоматически заполнить их в полях имени пользователя и пароля, которые он видит на этом веб-сайте. Это ускоряет вход в систему, так как вам просто нужно нажать «Войти».
Но некоторые сторонние рекламные сценарии - те, которые используются почти на каждом веб-сайте - начинают использовать их для отслеживания вас. Они запускаются в фоновом режиме, создают поддельные поля логина и пароля, которые вы даже не видите, и фиксируют учетные данные, которые ваш менеджер паролей вводит в них.
Вы можете увидеть эту проблему для себя, посетив эту демонстрационную страницу. Введите поддельный адрес электронной почты и пароль, и вам будет предложено сохранить его в менеджере паролей вашего браузера. Продолжайте, и он будет автоматически заполнен в фоновом режиме, с помощью скрипта, получающего адрес электронной почты и пароль.
Этот демонстрационный сайт в настоящее время не показывает никаких проблем, если вы используете LastPass, но все, что автоматически заполняет имена пользователей и пароли без вмешательства пользователя, включая LastPass, теоретически уязвимо.
Везде нужны уникальные пароли, поэтому менеджеры паролей все еще необходимы
Эта проблема демонстрирует важность использования уникальных паролей на каждом сайте. Это не просто теоретическая атака - на самом деле она используется рекламодателями на 1110 из миллиона сайтов на сегодняшний день, согласно Freedom to Tinker. Рекламодатели в настоящее время просто используют эту технику для захвата имен пользователей и адресов электронной почты, но ничто не мешает им также захватывать пароли, если когда-нибудь кто-то находился в особенно гнусном настроении.
Если рекламодатель зафиксировал ваш пароль на веб-сайте, худшее, что может сделать пользователь с этими данными, - войти на этот веб-сайт. Это не идеально, но это не самое худшее, что может случиться. если вы используете тот же пароль для этого веб-сайта, что и для своей учетной записи электронной почты, этот человек сможет затем получить доступ к вашей учетной записи электронной почты и использовать его для получения доступа к другим учетным записям.. Это худшее, что могло случиться.
Вот почему мы все еще рекомендуем использовать менеджер паролей, несмотря ни на что. При наличии разных учетных записей, которые имеет обычный человек в сети, и частоты атак на эти сайты, обязательно, чтобы вы использовали уникальный пароль для каждого посещаемого вами сайта. Лучший способ сделать это с помощью менеджера паролей - не выбрасывать ребенка с водой.
Защитите себя, отключив автозаполнение
Тем не менее, вы по-прежнему можете снизить риск, используя эти сценарии, отключив автозаполнение в менеджере паролей. Например, если вы используете LastPass (который в настоящее время не затрагивается этими сценариями, но теоретически может быть таковым), функция автозаполнения заполняет поля для входа вашими учетными данными, поэтому вы можете просто нажать «Войти». Если вы отключите функцию автозаполнения, вам нужно будет щелкнуть значок LastPass в поле пароля и щелкнуть свое имя пользователя, чтобы заполнить сохраненную информацию. Вы будете делать это только при попытке войти в систему, поэтому это должно защитить ваши учетные данные от взлома. Вы больше не распыляете их на каждую страницу.
Вы также можете просто скопировать и вставить имена пользователей и пароли из выбранного вами менеджера паролей, и это сделает вас еще более безопасным, но значительно менее удобным. Мы считаем, что выбор ручного запуска автозаполнения только на страницах входа в систему должен быть хорошим промежуточным звеном между безопасностью и удобством. Если эти страницы входа были скомпрометированы таким сценарием, то ничто не может вам помочь, в любом случае, сценарий может прочитать ваши данные для входа, даже если вы скопировали и вставили или набрали их вручную.
К сожалению, большинство менеджеров паролей браузера не позволяют отключить автозаполнение. Нет возможности отключить функцию автозаполнения, если вы используете, например, встроенный менеджер паролей в Google Chrome или Microsoft Edge. В Chrome есть возможность отключить автозаполнение, но отключается только автозаполнение данных, таких как адреса и номера телефонов, а не пароли. В диспетчере паролей Mozilla Firefox есть возможность отключить автозаполнение паролей, но оно скрыто в: config.
Если вы используете встроенный менеджер паролей в Chrome или Edge, мы рекомендуем вам переключиться на сторонний менеджер паролей, который предлагает больший контроль, такой как LastPass или 1Password. 1Пароль не подвержен этой проблеме, поскольку он не включает функцию автоматического заполнения.
В LastPass вы можете отключить автозаполнение, нажав кнопку расширения LastPass на панели инструментов браузера и нажав «Настройки». Снимите флажок «Автоматически заполнять регистрационную информацию» в разделе «Общие» и нажмите «Сохранить», чтобы сохранить изменения..
Если вы хотите продолжать использовать менеджер паролей Firefox, введите «about: config» в адресную строку Firefox и нажмите Enter. Вы увидите экран с предупреждением о том, что изменение различных настроек может вызвать проблемы. Не беспокойтесь - если вы просто измените одну настройку, которую мы указали, все будет в порядке. Нажмите «Я принимаю риск!», Чтобы продолжить.
Введите «autofillForms» в поле поиска и дважды щелкните параметр «signon.autofillForms», чтобы установить для него значение «false». Firefox больше не будет автоматически заполнять имена пользователей и пароли без вашего разрешения.
Если вы используете другой менеджер паролей, вы должны открыть его настройки и отключить опцию «автозаполнение» или «автоматическое заполнение», чтобы ваш менеджер паролей не пропустил вашу личную информацию..
Разработчикам браузеров и менеджеров паролей необходимо переосмыслить менеджеры паролей, чтобы сделать их более безопасными. Они не должны пытаться автоматически заполнять ваши регистрационные данные на каждой веб-странице, которую вы посещаете на определенном веб-сайте. Это просто напрашивается на неприятности. Но на данный момент вы можете отключить автозаполнение, чтобы сделать себя более безопасным.
Изображение предоставлено: vladwei / Shutterstock.com.