Agenții de publicitate au găsit o nouă modalitate de a vă urmări. Potrivit Freedom to Tinker, câteva rețele de anunțuri abuzează acum de scripturi de urmărire pentru a capta adresele de e-mail pe care managerul de parole îl umple automat pe site-uri web.
Dar se înrăutățește: ar putea folosi acea tehnologie pentru a vă capta și parolele, dacă vor. Acest lucru afectează toată lumea folosind un manager de parole, indiferent dacă este vorba de un manager de parole încorporat precum cel din Chrome, Firefox sau Edge sau o extensie de browser precum LastPass. Ca rezultat, ar trebui să dezactivați funcția de completare automată pentru a împiedica acest lucru.
Când vă salvați numele de utilizator și parola pe un site web, managerul de parole le memorează. Începând din acel moment, va încerca să le completeze automat în casete de nume de utilizator și de parolă pe care le vede pe site-ul respectiv. Acest lucru face ca conectarea să fie mai rapidă, deoarece trebuie doar să faceți clic pe "Conectare".
Dar unele script-uri de publicitate terțe - cele pe care aproape fiecare site web le utilizează - încep să le folosească pentru a vă urmări. Ele rulează în fundal, creează casete false de autentificare și parole pe care nici măcar nu le puteți vedea și captează acreditările pe care managerul de parole le completează.
Puteți vedea această problemă pentru dvs. vizitând această pagină demonstrativă. Completați o adresă de e-mail și o parolă false și vi se va solicita să o salvați în managerul de parole al browserului dvs. Continuați și va fi completată automat în fundal, cu scriptul care capturează adresa de e-mail și parola.
Acest site demonstrativ nu prezintă în prezent nicio problemă dacă utilizați LastPass, dar orice lucru care umple automat numele de utilizator și parolele fără intervenția utilizatorului - inclusiv LastPass - este teoretic vulnerabil.
Această problemă demonstrează importanța utilizării parolelor unice pe fiecare site web. Nu este vorba doar de un atac teoretic - este de fapt folosit de agenții de publicitate de pe 1110 din cele mai importante milioane de site-uri web de astăzi, potrivit Freedom to Tinker. Agenții de publicitate utilizează în prezent această tehnică pentru a captura numele de utilizator și adresele de e-mail, dar nu există nimic care să le împiedice captarea parolelor, dacă cineva se găsea într-o stare de spirit nefavorabilă într-o zi.
Dacă un agent de publicitate ți-a capturat parola pe un site web, cel mai rău persoană cu datele pe care ar putea să o facă este să intri pe site-ul respectiv. Nu este ideal, dar nu este cel mai rău lucru care s-ar putea întâmpla. dacă utilizați aceeași parolă pentru site-ul respectiv ca și dvs. pentru contul dvs. de e-mail, acea persoană ar putea accesa apoi contul dvs. de e-mail și să-l folosească pentru a avea acces la celelalte conturi. Asta- cel mai rău lucru care s-ar putea întâmpla.
De aceea, recomandăm să utilizați un manager de parole, indiferent de ce. Cu toate conturile diferite pe care persoana medie are online și frecvența atacurilor împotriva acestor site-uri web, este imperativ să folosiți o parolă unică pentru fiecare site pe care îl vizitați. Cel mai bun mod de a face acest lucru este cu un manager de parole - nu aruncați copilul afară cu apa de baie.
Cu toate acestea, vă puteți atenua totuși riscurile pe care le aveți din aceste scripturi, dezactivând completarea automată în managerul de parole. De exemplu, dacă utilizați LastPass (care nu este în prezent afectat de aceste scripturi, dar teoretic ar putea fi), caracteristica de completare automată completează câmpurile de conectare cu acreditările, astfel încât să puteți face doar clic pe "Conectare". Dacă dezactivați funcția de completare automată, va trebui să faceți clic pe pictograma LastPass într-un câmp de parolă și să faceți clic pe numele dvs. de utilizator pentru a vă completa informațiile salvate. Veți face acest lucru numai când încercați să vă conectați, astfel încât acest lucru ar trebui să vă protejeze datele de acreditare. Nu le mai pulverizați pe toate paginile.
Puteți, de asemenea, să copiați și să inserați numele de utilizator și parolele de la managerul de parole dorit și acest lucru vă va face chiar mai sigur, dar semnificativ mai puțin convenabil. Considerăm că alegerea de a iniția manual completarea automată numai în paginile de conectare ar trebui să fie un bun mediu intermediar între securitate și comoditate. Dacă aceste pagini de conectare au fost compromise cu un astfel de script, nimic nu te-ar putea ajuta oricum - scriptul ar putea citi detaliile de conectare chiar dacă le copiați și le lipiți sau le-ați introdus manual.
Din păcate, majoritatea managerilor de parole ale browserului nu vă permit să dezactivați completarea automată. Nu există nicio modalitate de a dezactiva funcția de completare automată dacă utilizați managerul integrat de parole în Google Chrome sau Microsoft Edge, de exemplu. Chrome are opțiunea de a dezactiva completarea automată, însă dezactivează numai completarea automată a datelor, cum ar fi adresele și numerele de telefon, nu parolele. Există opțiunea de a dezactiva completarea automată a parolelor în managerul de parole al Mozilla Firefox, dar este ascuns în aproximativ: config.
Dacă utilizați managerul de parole încorporat în Chrome sau Edge, vă recomandăm să treceți la un manager de parole terță parte care oferă mai mult control, cum ar fi LastPass sau 1Password. 1Password nu este afectat de această problemă deoarece nu include o caracteristică de completare automată automată.
În LastPass, puteți dezactiva completarea automată făcând clic pe butonul de extensie LastPass din bara de instrumente a browserului dvs. și făcând clic pe "Preferințe". Debifați opțiunea "Completați automat datele de conectare" din secțiunea Generală și apoi faceți clic pe "Salvați" pentru a salva modificările.
Dacă doriți să continuați să utilizați managerul de parole pentru Firefox, trebuie să introduceți "about: config" în bara de adrese a Firefox și apăsați Enter. Veți vedea un ecran de avertizare care vă informează că modificarea diferitelor setări aici ar putea cauza probleme. Nu vă faceți griji - dacă schimbați setarea unică pe care o subliniem, veți fi bine. Faceți clic pe "Accept riscul" pentru a continua.
Introduceți "autofillForms" în caseta de căutare și faceți dublu clic pe preferința "signon.autofillForms" pentru ao seta la "false". Firefox nu va mai completa automat numele de utilizator și parolele fără permisiunea dvs.
Dacă utilizați un alt manager de parole, ar trebui să deschideți preferințele acestuia și să dezactivați opțiunea "completare automată" sau "umplere automată" pentru a vă asigura că managerul de parole nu vă va pierde informațiile personale.
Dezvoltatorii de browsere și manager de parole trebuie să regândească managerii de parole pentru a le face mai siguri. Nu ar trebui să încerce să vă umple automat datele de conectare pe fiecare pagină web pe care o vizitați pe un anumit site web. Asta doar cere probleme. Dar, pentru moment, puteți dezactiva completarea automată pentru a vă face mai sigură.
Credit de imagine: vladwei / Shutterstock.com.
