Oglašavači su pronašli novi način praćenja. Prema Freedom to Tinker, nekoliko oglasnih mreža sada zloupotrebljava skripte za praćenje kako bi obuhvatile adrese e-pošte koje upravitelj lozinke automatski ispunjava na web stranicama.
Ali to se pogoršava: mogli bi upotrijebiti tu tehnologiju kako bi uhvatili i vaše lozinke, ako to žele. To utječe na sve korisnike upravitelja zaporki, bez obzira je li riječ o ugrađenom upravitelju zaporke poput onog u Chromeu, Firefoxu ili Edgeu ili proširenju preglednika kao što je LastPass. Zbog toga biste vjerojatno trebali onemogućiti značajku automatskog popunjavanja da biste to spriječili.
Kada spremite korisničko ime i zaporku na web stranicu, upravitelj zaporke ih pamti. Od tog trenutka naprijed će pokušati automatski ih popuniti u korisničke i lozinke kutije koje vidi na toj web stranici. To znači da se prijavljujete brže, jer samo trebate kliknuti "Prijava".
No neke reklamne skripte treće strane - one koje gotovo svaka web-lokacija upotrebljava - počnu upotrebljavati te kako bi vas pratili. Pokreću se u pozadini, stvaraju lažne lozinke za prijavu i lozinku koje ne možete ni vidjeti, a bilježe vjerodajnice koje vam zaporku za zaporku ispunjavaju.
Taj problem možete vidjeti sami posjetom ove demonstracijske stranice. Ispunite lažnu adresu e-pošte i zaporku i od vas će se zatražiti da ga spremite u upravitelj zaporki preglednika. Nastavi, a bit će automatski ispunjena u pozadini, a skripta će obuhvatiti adresu e-pošte i zaporku.
Ovo demonstracijsko mjesto trenutačno ne pokazuje nikakav problem ako koristite LastPass, ali sve što automatski popunjava korisnička imena i lozinke bez intervencije korisnika - uključujući LastPass - teoretski je ranjivo.
Ovaj problem pokazuje važnost upotrebe jedinstvenih zaporki na svim web-lokacijama. To nije samo teorijski napad, već ga oglašavači danas koriste na 1110 od prvih milijun web stranica, prema Freedom to Tinker. Oglašivači trenutačno koriste ovu tehniku kako bi uhvatili korisnička imena i adrese e-pošte, no ništa ih ne sprečava da obuhvaćaju i lozinke, ako jednoga dana u nekom posebno neugodnom raspoloženju.
Ako je oglašavač zabilježio vašu zaporku na web-lokaciji, najgori je netko s tim podacima da se prijavi na tu web-lokaciju. To nije idealno, ali to nije najgore što bi se moglo dogoditi. ako koristite istu lozinku za tu web lokaciju kao i za vaš račun e-pošte, ta osoba tada može pristupiti vašem računu e-pošte i koristiti je za pristup vašim drugim računima. To je najgore što bi se moglo dogoditi.
Zato još uvijek preporučujemo upotrebu upravitelja zaporki, bez obzira na sve. S obzirom na sve različite račune koje prosječna osoba ima na mreži i učestalost napada na te web stranice, neophodno je da koristite jedinstvenu zaporku za svaku web stranicu koju posjetite. Najbolji način da to učinite je upravitelj lozinke - ne bacajte bebu s kupeljom.
Međutim, još uvijek možete ublažiti neki od rizika tih skripti onemogućavanjem automatskog popunjavanja u upravitelju zaporke. Na primjer, ako koristite LastPass (na koju trenutno ne djeluju te skripte, ali teoretski može biti), značajka automatskog popunjavanja ispunjava polja za prijavu s vjerodajnicama tako da možete jednostavno kliknuti "Prijava". Ako onemogućite značajku automatskog popunjavanja, morat ćete kliknuti ikonu LastPass u polju za zaporku i kliknite svoje korisničko ime kako biste ispunili spremljene podatke. To ćete učiniti samo kada se pokušavate prijaviti, tako da bi to trebalo zaštititi vaše vjerodajnice. Više vas ne raspršuje po cijeloj stranici.
Također možete samo kopirati i zalijepiti korisnička imena i lozinke iz vašeg lozinku upravitelja izbora, a to bi vas čak i sigurnije - ali znatno manje prikladan. Smatramo da bi odabir ručnog pokretanja automatskog popunjavanja samo na stranicama za prijavu trebalo biti dobar sredini između sigurnosti i praktičnosti. Ako su te stranice za prijavu ugrožene takvim scenarijem, ionako vam ništa ne bi moglo pomoći - skripta može pročitati vaše podatke za prijavu čak i ako ih kopirate i zalijepite ili ih ručno unesete.
Nažalost, većina upravitelja zaporki preglednika ne dopušta vam da onemogućite automatsko popunjavanje. Primjerice, ne možete onemogućiti značajku automatskog popunjavanja ako upotrebljavate ugrađeni upravitelj lozinke u pregledniku Google Chrome ili Microsoft Edge. Chrome ima opciju onemogućiti automatsko popunjavanje, ali onemogućuje samo automatsko popunjavanje podataka poput adresa i telefonskih brojeva, a ne lozinki. Postoji opcija za onemogućavanje automatskog popunjavanja zaporki u upravitelju zaporke Mozilla Firefox, ali je skriveno oko: config.
Ako upotrebljavate ugrađeni upravitelj zaporke u Chromeu ili Edgeu, preporučujemo vam da se prebacite na upravitelja zaporke treće strane koja nudi veću kontrolu, kao što je LastPass ili 1Password. 1Poslovanje ne utječe na taj problem jer ne uključuje automatsko automatsko popunjavanje.
U LastPassu možete onemogućiti automatsko popunjavanje klikom na gumb LastPass proširenje na alatnoj traci preglednika i klikom na "Postavke". Poništite opciju "Automatski ispunite podatke o prijavi" u odjeljku Općenito, a zatim kliknite "Spremi" da biste spremili promjene.
Ako želite nastaviti koristiti Krijesnica upravitelja zaporki, trebate upisati "about: config" u Firefoxovu adresnu traku i pritisnuti Enter. Vidjet ćete zaslon upozorenja koji vas obavještava da mijenjanje različitih postavki može uzrokovati probleme. Ne brinite - ako promijenite samo jednu postavku koju istaknemo, biti ćete u redu. Kliknite "Prihvaćam rizik!" Za nastavak.
Unesite "autofillForms" u okvir za pretraživanje i dvaput kliknite željenu oznaku "signon.autofillForms" da biste ga postavili na "netočno". Firefox više neće automatski dopunjavati korisnička imena i zaporke bez vašeg dopuštenja.
Ako upotrebljavate drugi upravitelj zaporki, trebali biste otvoriti svoje postavke i onemogućiti opciju "automatsko popunjavanje" ili "automatski popuniti" kako biste osigurali da upravitelj zaporke neće procuriti vaše osobne podatke.
Razvojni programeri za preglednik i lozinku trebaju ponovno razmotriti upravitelje zaporki kako bi bili sigurniji. Ne bi trebali pokušati automatski ispuniti vaše podatke za prijavu na svaku web stranicu koju posjetite na određenoj web stranici. To samo traži nevolje. No, za sada možete onemogućiti automatsko popunjavanje da biste postali sigurniji.
Slikovni kredit: vladwei / Shutterstock.com.