不要让浏览器自动填充密码——这就是原因

一位捷克安全研究人员认为,您应该关闭密码管理器中的自动填充功能,并完全停止使用某些浏览器密码管理器。

“大多数密码管理器默认启用自动填充功能,即使它降低了存储密码的安全性,”Avast 的渗透测试员 Marek Toth 在一份报告中说。 最近的博文.

如何删除你的谷歌搜索历史你可以获得的最好的密码管理器加: 如何在 Chrome 中下载 YouTube 视频

自动填充是当您的密码管理器使用您保存的凭据填写网站登录页面中的用户名和密码字段时,您无需主动提示密码管理器。

粘贴到字段中的字符可以被登录页面中的脚本“读取”——例如可能在与页面本身无关的在线广告中预设——这些脚本将能够复制和发送您的任何地方的用户名和密码。

当然,这些脚本也可以在您登录时主动填写字段时读取您的用户名和密码,但至少您可以控制何时发生这种情况。

自动填充会一直尝试填充这些字段。 恶意脚本有时会创建不可见的登录字段,在您不知情的情况下,您无法看到这些登录字段来捕获这些凭据,如 三名研究人员在 2017 年发现.

Toth 发现大多数主流网络浏览器,包括 Chrome、Firefox、Edge、Internet Explorer、Opera 和 Vivaldi,默认情况下都会自动填写用户名和密码,独立密码管理器 LastPass、Dashlane 和 Sticky Password 也是如此。

Toth 说,Safari 和 Brave 浏览器没有自动填充密码,1Password、RoboForm 和 Bitwarden 密码管理器也没有。 另一个密码管理器 Keeper 将在用户许可的情况下逐个站点地自动填充密码。

“通过默认激活自动填充,我们的用户可以更快地感受到密码管理器的价值,”Dashlane 首席技术官 Frédéric Rivain 告诉我们。 “这最终会增加他们继续使用密码管理器的机会,从而变得越来越安全。”

“自动填充还提供了一种反网络钓鱼保护,因为 Dashlane 只建议用户在链接到其密码的特定网站上的信息,”Rivain 补充道。 “唯一确定的漏洞是攻击者修改了您登录的网站,在这种情况下,无论您是否启用了自动填充,他们都可以窃取您的密码。”

“我们一直在评估改进自动填充流程的方法,以保护我们的用户,同时仍然提供便捷的登录体验,”LastPass 产品管理副总裁 Dan DeMichele 说。 “我们总是建议用户只访问他们信任的网站并点击链接,以防止潜在的窃取登录信息的企图。”

“如果用户想要控制凭据填写,此选项可用作扩展首选项设置,对于商业用户,可用作策略,”DeMichele 补充道。 “为我们的用户提供安全的服务仍然是我们的首要任务。”

我们在下面提供了有关如何在 Dashlane、LastPass 和可能的浏览器中禁用自动填充的说明。

看看自己会发生什么

您可以通过使用他的在线演示了解 Toth 在谈论什么。 在此页面的登录字段中输入假用户名和密码,并让您的浏览器或密码管理器保存凭据:

https://websecurity.dev/password-managers/login/

然后在同一个浏览器中进入这个页面。 您可能需要单击页面上的某个位置,四处移动鼠标或单击“允许通知”框以进行这项工作:

https://websecurity.dev/password-managers/autofill/

如果您的浏览器或密码管理器自动填写密码,您将看到您输入的用户名和密码显示在页面上。

网站上显示的用户名和密码说明了让密码管理器自动填充密码的风险。

这是一个主要的安全风险,因为不仅您可以看到这些凭据,而且嵌入在网页中的恶意脚本也可能能够看到。

现代网站充满了第三方跟踪脚本、嵌入式框架和动态广告,这些通常与运营网站的公司无关,其中任何一个元素都可能窃取您的用户名和密码。

可以肯定的是,这不是一个新发现。 我们发现不同研究人员发表的几篇较旧的博客文章主张不要让浏览器和密码管理器自动填充密码。 这是一个与前面提到的 2017 年研究相关的演示,用于测试浏览器是否自动填充:

https://senglehardt.com/demo/no_boundaries/loginmanager/index.html

结果如下:

显示用户名和密码的浏览器,以证明让浏览器自动填充保存的密码的风险。

如何禁用自动填充

那么你如何解决这个问题呢?

好吧,首先,停止使用浏览器来保存您的密码,或者至少是敏感密码,例如社交媒体、电子邮件和任何涉及信用卡或金融交易的密码,包括银行和购物网站。 以其他方式从网络浏览器中窃取保存的密码已经太容易了。

您甚至无法在许多基于 Chromium 的浏览器中禁用自动填充,包括 Chrome、Opera 和 Vivaldi。 Brave 是个例外,因为它一开始不会自动填充,而且 Edge 有一个特殊的仅限 Microsoft 的设置。

如何在 Firefox 中禁用自动填充

1. 打开一个新标签。

2. 单击页面右上角的齿轮图标。

3. 向下滚动并单击管理更多设置。

4. 单击左侧导航栏中的隐私和安全。

5. 向下滚动到登录名和密码并取消选择“自动填充登录名和密码”。

如何在 Microsoft Edge 中禁用自动填充

如果禁用自动填充,Microsoft 通过添加 Windows 安全检查来绕过 Chromium 的限制。 如果您希望浏览器填写您的密码,则必须输入您的 Windows 用户密码。

1. 单击浏览器窗口右上角的三个水平点。

2. 向下滚动并单击设置。

3. 在出现的个人资料窗口中,选择密码。

4. 在“提供保存密码/登录”下,选择“使用设备密码”。

5. 输入您的 Windows 用户密码。

如何在 LastPass 中禁用自动填充

不要使用浏览器来保存密码,而是使用密码管理器。 LastPass 是我们最好的密码管理器中的首选,但它是自动填充的主要罪犯之一。

该选项默认处于打开状态,即使您关闭自动填充然后再次打开它,您也会收到一个很大的警告弹出窗口,告诉您这是一个安全风险。

一个警告弹出窗口告知 LastPass 用户让密码管理器自动填充密码的风险。

以下是在 LastPass 中关闭自动填充的方法:

1. 单击 Web 浏览器中的 LastPass 扩展程序图标。

2. 向下滚动到并单击帐户选项。

3. 单击扩展首选项。

4. 在常规下,取消选择“自动填写登录信息”。

进行此更改后,LastPass 仍然可以正常工作。 要登录 LastPass 已保存凭据的网站,您只需单击每个登录表单字段中显示的 LastPass 图标。

如何在 Dashlane 中禁用自动填充

默认情况下自动填充的另一个大密码管理器是 Dashlane。 您必须逐个站点地禁用自动填充。

1. 打开 Dashlane 网络界面、移动应用程序或桌面应用程序。

2. 选择要编辑的凭据。

3. 在自动填充选项下,取消选择“自动让我登录此网站”。

今日最佳 1Password 优惠 1Password Families 帐户第一年优惠 50%1密码1密码家族2.50 美元/月1密码1密码1密码$2.99/月1密码