Isključite Automatsko popunjavanje u Upravitelju lozinki
Oglašivači su pronašli novi način praćenja. Prema Freedom to Tinker, nekoliko oglasnih mreža sada zloupotrebljavaju skripte za praćenje kako bi zabilježile adrese e-pošte koje upravitelj lozinki automatski ispunjava na web-lokacijama..
Ali postaje još gore: mogli bi iskoristiti tu tehnologiju i za snimanje vaših lozinki, ako su htjeli. To utječe na svakoga tko koristi upravitelja zaporki, bez obzira radi li se o ugrađenom upravitelju zaporki kao što je onaj u Chromeu, Firefoxu ili Edgeu ili proširenju preglednika kao što je LastPass. Zbog toga biste vjerojatno trebali onemogućiti značajku automatskog popunjavanja da biste spriječili da se to dogodi.
Kako automatsko ispunjavanje curi vaše podatke
Kada spremite svoje korisničko ime i zaporku na web-lokaciju, upravitelj zaporki pamti ih. Od tog trenutka pokušat će ih automatski popuniti u okvire s korisničkim imenom i lozinkom koje vidi na toj web-lokaciji. Time se ubrzava prijavljivanje jer morate samo kliknuti "Prijava".
Ali neke reklamne poruke treće strane - one koje gotovo svaka web-lokacija koristi - počinju ih koristiti da vas prate. Pokreću se u pozadini, stvaraju lažne okvire za prijavu i zaporku koje ne možete čak ni vidjeti i bilježe vjerodajnice koje vam upravitelj lozinki ispunjava.
Taj problem možete vidjeti sami, posjetom ovoj demonstracijskoj stranici. Ispunite lažnu adresu e-pošte i zaporku, a od vas će se zatražiti da je spremite u upravitelj zaporki svog preglednika. Nastavite i ona će biti ispunjena u pozadini, a skripta će zabilježiti adresu e-pošte i zaporku.
Ova demonstracijska web-lokacija trenutno ne pokazuje nikakav problem ako koristite LastPass, ali sve što automatski popunjava korisnička imena i lozinke bez intervencije korisnika - LastPass uključen - teoretski je ranjiv.
Potrebne su vam jedinstvene lozinke posvuda, pa su menadžeri lozinki još uvijek bitni
Ovaj problem pokazuje važnost korištenja jedinstvenih lozinki na svakoj web-lokaciji. To nije samo teoretski napad - to zapravo koriste oglašivači na 1110 od prvih milijun web-mjesta danas, prema Freedom to Tinker. Oglašivači trenutačno samo koriste ovu tehniku za snimanje korisničkih imena i adresa e-pošte, ali ništa ih ne sprječava u hvatanju zaporki, ako je netko bio u posebno opakom raspoloženju jednog dana.
Ako je oglašivač zabilježio vašu zaporku na web-lokaciji, najgore što bi netko mogao učiniti jest prijaviti se na tu web-lokaciju. To nije idealno, ali to nije najgora stvar koja se može dogoditi. ako za istu web-lokaciju koristite istu zaporku kao i za račun e-pošte, ta osoba može pristupiti računu e-pošte i upotrebljavati je za pristup drugim računima. To je najgore što se može dogoditi.
Zato i dalje preporučujemo korištenje upravitelja zaporki, bez obzira na sve. Uz sve različite račune koje prosječna osoba ima na mreži i učestalost napada na te web-lokacije, neophodno je da koristite jedinstvenu zaporku za svaku web-lokaciju koju posjetite. Najbolji način da to učinite je s upraviteljem lozinki - ne bacajte bebu s vodom za kupanje.
Zaštitite se isključivanjem automatskog popunjavanja
Međutim, još uvijek možete ublažiti dio rizika koji proizlazi iz tih skripti tako da onemogućite automatsko popunjavanje u upravitelju zaporki. Na primjer, ako koristite LastPass (koji trenutno nije pod utjecajem ovih skripti, ali teoretski može biti), značajka automatskog popunjavanja popunjava polja za prijavu vašim vjerodajnicama tako da možete samo kliknuti na "Prijava". Ako onemogućite značajku automatskog popunjavanja, morat ćete kliknuti ikonu LastPass u polju zaporke i kliknuti svoje korisničko ime da biste ispunili spremljene podatke. To ćete učiniti samo kada se pokušavate prijaviti, što bi trebalo zaštititi vaše vjerodajnice od preuzimanja. Više ih ne prskate po svakoj stranici.
Također možete jednostavno kopirati i zalijepiti korisnička imena i lozinke iz svog upravitelja zaporki po vlastitom izboru, a to bi vas učinilo još sigurnijim - ali znatno manje praktičnim. Smatramo da bi odabir ručno pokretanje automatskog popunjavanja samo na stranicama za prijavu trebao biti dobro mjesto između sigurnosti i praktičnosti. Ako su te stranice za prijavu ugrožene takvom skriptom, ništa vam ne može pomoći, u svakom slučaju - skripta može čitati vaše podatke za prijavu čak i ako ih kopirate i zalijepite ili ručno utipkate u.
Nažalost, većina upravitelja zaporki za preglednike ne dopušta vam da onemogućite automatsko popunjavanje. Na primjer, ne možete onemogućiti značajku automatskog popunjavanja ako koristite integrirani upravitelj zaporki u pregledniku Google Chrome ili Microsoft Edge. Chrome ima mogućnost onemogućiti automatsko popunjavanje, ali onemogućuje automatsko popunjavanje podataka kao što su adrese i telefonski brojevi, a ne lozinke. Postoji mogućnost onemogućivanja automatskog popunjavanja zaporki u upravitelju zaporki za Mozilla Firefox, ali je skriven u about: config.
Ako koristite ugrađeni upravitelj zaporki u Chromeu ili Edgeu, preporučujemo da se prebacite na upravitelja lozinki treće strane koji nudi više kontrole, kao što je LastPass ili 1Password. Ovaj problem ne utječe na 1 lozinku, jer ne uključuje automatsku značajku automatskog popunjavanja.
U programu LastPass možete onemogućiti automatsko popunjavanje klikom na gumb Proširi LastPass na alatnoj traci preglednika i kliknite "Preferences". Isključite opciju "Automatski popuni podatke o prijavi" u odjeljku Općenito, a zatim kliknite "Spremi" da biste spremili promjene.
Ako želite nastaviti koristiti Firefoxov upravitelj lozinki, upišite "about: config" u Firefoxovu adresnu traku i pritisnite Enter. Vidjet ćete zaslon upozorenja koji vas obavještava da mijenjanje različitih postavki ovdje može uzrokovati probleme. Ne brinite - ako promijenite samo jednu postavku koju ističete, bit ćete dobro. Za nastavak kliknite "Prihvaćam rizik!".
Upišite “autofillForms” u okvir za pretraživanje i dvaput kliknite na postavku “signon.autofillForms” da biste je postavili na “false”. Firefox više neće automatski popunjavati korisnička imena i lozinke bez vašeg dopuštenja.
Ako upotrebljavate drugi upravitelj zaporki, trebali biste otvoriti njegove postavke i onemogućiti opciju "Automatsko popunjavanje" ili "Automatsko popunjavanje" kako biste osigurali da upravitelj zaporki neće procuriti vaše osobne podatke.
Programeri preglednika i upravitelja zaporki moraju ponovno razmotriti upravitelje lozinki kako bi ih učinili sigurnijima. Ne bi trebali pokušavati automatski popunjavati podatke za prijavu na svaku web-stranicu koju posjetite na određenoj web-lokaciji. Samo tražim nevolje. No, za sada možete onemogućiti automatsko popunjavanje kako biste bili sigurniji.
Zasluge za slike: vladwei / Shutterstock.com.