捷克的一位安全研究人员认为,你应该关闭密码管理器的自动填写功能,并完全停止使用某些浏览器的密码管理器。
“大多数密码管理器默认启用自动填充功能,尽管这会降低存储密码的安全性,”Avast的渗透测试人员马雷克·托特(Marek Toth)说最近的博客文章.
- 如何删除您的谷歌搜索历史
- 的最好的密码管理你可以得到
- 加:如何在Chrome下载YouTube视频
自动填充是当您的密码管理器填写用户名和密码字段在一个网站的登录页面与您保存的凭据没有你主动提示密码管理器。
粘贴到的字符字段可以“读”脚本出现在登录页面,比如可能会预设一个在线广告,页面本身无关,这些脚本将能够复制和发送您的用户名和密码。
当然,当您在登录时主动填写字段时,这些脚本也可以读取您的用户名和密码,但至少您可以控制何时发生这种情况。
自动填充一直尝试填充这些字段。恶意脚本可以(有时也确实会)创建您无法看到的不可见登录字段,以便在您不知情的情况下捕获这些凭证三名研究人员在2017年发现.
托特发现,包括Chrome、火狐(Firefox)、Edge、ie、Opera和Vivaldi在内的大多数主流浏览器都会自动默认填写用户名和密码,独立的密码管理器也是如此LastPass,Dashlane和粘性的密码.
托特说,Safari和Brave浏览器没有自动填写密码,google也没有1密码,RoboForm和Bitwarden密码管理器。另一个密码管理器,门将,将在用户许可的情况下,逐站点自动填写密码。
Dashlane首席技术官Frédéric Rivain告诉我们:“通过默认激活自动填充功能,我们的用户更快地认识到密码管理器的价值。”“这最终会增加他们继续使用密码管理器的机会,从而变得越来越安全。”
Rivain补充道:“自动填充功能还提供了反钓鱼保护功能,因为Dashlane只建议用户在特定网站上的信息,并将其与密码链接起来。”“唯一识别出的漏洞是,攻击者修改了你登录的网站,在这种情况下,无论你是否启用了自动填充功能,他们都可以窃取你的密码。”
LastPass产品管理副总裁Dan DeMichele说:“我们一直在评估改进自动填充流程的方法,以保护我们的用户,同时仍然提供方便的登录体验。”“我们一直建议用户只访问他们信任的网站和点击链接,以防止潜在的企图窃取登录信息。”
DeMichele补充说:“如果用户想要控制凭证填写,这个选项可以作为扩展首选项设置,对于业务用户,可以作为策略。”“为用户提供安全服务仍然是我们的首要任务。”
下面是如何在Dashlane、LastPass和浏览器中禁用自动填充功能的说明。
看看你自己会发生什么
你可以通过托特的在线演示来了解他在说什么。在这个页面的登录字段中输入一个假的用户名和密码,让你的浏览器或密码管理器保存凭据:
https://websecurity.dev/password-managers/login/
然后在同一个浏览器中进入这个页面。你可能需要点击页面上的某个地方,移动鼠标,或者点击“允许通知”框。
https://websecurity.dev/password-managers/autofill/
如果您的浏览器或密码管理器自动填写密码,您将看到您输入的用户名和密码显示在页面上。
这是一个主要的安全风险,因为不仅你可以看到这些凭证,而且嵌入在网页中的恶意脚本可能也能看到。
现代网站充斥着第三方跟踪脚本、嵌入式框架和动态广告,这些往往与运营网站的公司无关,而这些元素中的任何一个都可能窃取你的用户名和密码。
可以肯定的是,这不是一个新发现。我们发现了几篇由不同研究人员撰写的较早的博客文章,反对让浏览器和密码管理器自动填写密码。下面是一个演示,与之前提到的2017年的研究相关,测试浏览器是否会自动填充:
https://senglehardt.com/demo/no_boundaries/loginmanager/index.html
结果如下:
如何禁用自动填充
那么如何解决这个问题呢?
首先,停止使用浏览器保存密码,或者至少是敏感密码,比如社交媒体、电子邮件和任何涉及信用卡或金融交易的密码,包括银行和购物网站的密码。用其他方式从浏览器中窃取保存的密码已经很容易了。
你甚至不能在许多基于Chrome的浏览器中禁用自动填充功能,包括Chrome、Opera和Vivaldi。Brave是个例外,因为它一开始就没有自动填充功能,而Edge有一个特殊的微软专用设置。
如何禁用Firefox中的自动填充功能
1.打开一个新标签。
2.点击页面右上角的齿轮图标。
3.向下滚动到并单击管理更多设置。
4.单击左侧导航栏中的隐私和安全。
5.向下滚动到登录和密码,取消选择“自动填写登录和密码”。
如何禁用自动填充在微软边缘
如果你禁用了自动填充功能,微软通过添加Windows安全检查来绕过Chromium的限制。如果你想让浏览器填写你的密码,你必须输入你的Windows用户密码。
1.单击浏览器窗口右上方的三个水平点。
2.向下滚动到并单击设置。
3.在出现的个人配置文件窗口中,选择密码。
4.在“提供保存密码/登录”下,选择“使用设备密码”。
5.输入您的Windows用户密码。
如何禁用自动填充LastPass
不要使用浏览器来保存密码,而要使用密码管理器。LastPass是我们最好的密码管理器之一,但它是自动填充的主要障碍之一。
这个选项是默认打开的,即使你关闭了自动填充功能,然后又重新打开它,你会收到一个大大的警告,告诉你这是一个安全风险。
下面是如何关闭LastPass的自动填充功能:
1.点击LastPass扩展图标在您的web浏览器。
2.向下滚动到并单击帐户选项。
3.点击扩展偏好。
4.在“常规”下,取消选择“自动填写登录信息”。
做了这个更改后,LastPass仍然可以正常工作。要登录到LastPass保存了凭证的网站,您只需要单击每个登录表单字段中显示的LastPass图标。
如何禁用Dashlane中的自动填充功能
另一个默认自动填充的大密码管理器是Dashlane。你必须在每个站点上禁用自动填充功能。
1.打开Dashlane web界面、移动应用程序或桌面应用程序。
2.选择要编辑的凭据。
3.在“自动填充选项”下,取消选择“自动将我登录到此网站”。