Рекламодатели нашли новый способ отслеживать Вас. Согласно Freedom to Tinker, несколько рекламных сетей в настоящее время злоупотребляют скриптами отслеживания для сбора адресов электронной почты, которые Ваш менеджер паролей автоматически заполняет на веб-сайтах.
Но становится еще хуже: они могли бы использовать эту технологию и для захвата Ваших паролей, если бы захотели. Это влияет на всех, кто использует диспетчер паролей, будь то встроенный диспетчер паролей, такой как в Chrome, Firefox или Edge, или расширение браузера, например LastPass. В результате Вам, вероятно, следует отключить функцию автозаполнения, чтобы этого не произошло.
Как автозаполнение приводит к утечке Вашей информации
Когда Вы сохраняете свое имя пользователя и пароль на веб-сайте, Ваш менеджер паролей запоминает их. С этого момента он будет пытаться автоматически заполнить их в поля имени пользователя и пароля, которые он видит на этом веб-сайте. Это ускоряет вход в систему, так как Вам просто нужно нажать «Войти».
Но некоторые сторонние рекламные скрипты — те, которые использует почти каждый веб-сайт — начинают использовать их, чтобы отслеживать Вас. Они работают в фоновом режиме, создают поддельные поля для входа и пароля, которые Вы даже не видите, и фиксируют учетные данные, которые Ваш менеджер паролей вводит в них.
Вы можете сами убедиться в этой проблеме, посетив эту демонстрационную страницу. Введите любой адрес электронной почты и пароль, и Вам будет предложено сохранить его в диспетчере паролей браузера. Продолжите, и он будет автоматически заполнен в фоновом режиме, при этом скрипт сохранит адрес электронной почты и пароль.
Этот демонстрационный сайт в настоящее время не показывает никаких проблем, если Вы используете LastPass, но все, что автоматически заполняет имена пользователей и пароли без действия пользователя, включая LastPass, теоретически уязвимо.
Нужно использовать уникальные пароли, поэтому менеджеры паролей по-прежнему необходимы
Эта проблема демонстрирует важность использования уникальных паролей на каждом веб-сайте. По данным Freedom to Tinker, это не просто теоретическая атака — она фактически используется рекламодателями на 1110 из миллиона веб-сайтов, занимающих лидирующие позиции на сегодняшний день. Рекламодатели в настоящее время используют эту технику только для захвата имен пользователей и адресов электронной почты, но ничто не мешает им также собирать пароли.
Если рекламодатель действительно перехватил Ваш пароль на веб-сайте, худшее, что может сделать кто-то с этими данными, — это войти на этот веб-сайт. Это не самое худшее, что могло случиться. Если Вы используете тот же пароль для этого веб-сайта, что и для своей учетной записи электронной почты, этот человек может получить доступ к Вашей учетной записи электронной почты и использовать ее для получения доступа к другим Вашим учетным записям. Это худшее, что может случиться.
Вот почему мы по-прежнему рекомендуем использовать менеджер паролей, несмотря ни на что. Учитывая все разнообразие учетных записей, которые у обычного человека есть в сети, и частоту атак на эти веб-сайты, совершенно необходимо использовать уникальный пароль для каждого сайта, который Вы посещаете. Лучше всего это сделать с помощью менеджера паролей.
Защитите себя, отключив автозаполнение
Тем не менее, Вы все равно можете снизить риск, связанный с этими скриптами, отключив автозаполнение в диспетчере паролей. Например, если Вы используете LastPass (который в настоящее время не зависит от этих скриптов, но теоретически может быть), функция автозаполнения заполняет поля входа Вашими учетными данными, поэтому Вы можете просто нажать «Войти». Если Вы отключите функцию автозаполнения, Вам нужно будет щелкнуть значок LastPass в поле пароля и щелкнуть свое имя пользователя, чтобы ввести сохраненную информацию. Вы будете делать это только при попытке входа в систему, так что это должно защитить Ваши учетные данные.
Вы также можете просто скопировать и вставить имя пользователя и пароль из выбранного Вами менеджера паролей, и это увеличит уровень безопасности, но снизит удобство. Мы считаем, что выбор ручного запуска автозаполнения только на страницах входа в систему должен быть хорошим промежуточным звеном между безопасностью и удобством. Если эти страницы входа в систему были скомпрометированы с помощью такого скрипта, все равно ничто не сможет Вам помочь — скрипт мог прочитать Ваши данные для входа, даже если Вы скопировали и вставили их или вручную напечатали.
К сожалению, большинство менеджеров паролей браузера не позволяют отключить автозаполнение. Невозможно отключить функцию автозаполнения, если Вы используете встроенный менеджер паролей, например, в Google Chrome или Microsoft Edge. В Chrome есть возможность отключить автозаполнение, но он отключает только автозаполнение таких данных, как адреса и номера телефонов, но не паролей. В диспетчере паролей Mozilla Firefox есть возможность отключить автозаполнение паролей, но она скрыта в about:config.
Если Вы используете встроенный менеджер паролей в Chrome или Edge, мы рекомендуем Вам перейти на сторонний менеджер паролей, который предлагает больший контроль, например LastPass или 1Password. 1Password не подвержен этой проблеме, потому что в нем нет функции автоматического автозаполнения.
В LastPass Вы можете отключить автозаполнение, нажав кнопку расширения LastPass на панели инструментов браузера и нажав «Параметры». Снимите флажок «Automatically Fill Login Information» в разделе «General», а затем нажмите «Save», чтобы сохранить изменения.
Если Вы хотите и дальше использовать диспетчер паролей Firefox, Вам следует ввести «about:config» в адресную строку Firefox и нажать Enter. Вы увидите экран с предупреждением о том, что изменение различных настроек здесь может вызвать проблемы. Не волнуйтесь — если Вы просто измените единственную настройку, о которой мы говорим, все будет в порядке. Нажмите «Принять риск и продолжить».
Введите «autofillForms» в поле поиска и дважды щелкните параметр «signon.autofillForms», чтобы установить для него значение «false». Firefox больше не будет автоматически заполнять имена пользователей и пароли без Вашего разрешения.
Если Вы используете другой менеджер паролей, Вам следует открыть его настройки и отключить параметр «автозаполнение» или «автоматическое заполнение», чтобы гарантировать, что Ваш менеджер паролей не допустит утечки Вашей личной информации.
Разработчики браузеров и менеджеров паролей должны переосмыслить менеджеры паролей, чтобы сделать их более безопасными. Им не следует пытаться автоматически заполнять данные для входа на каждую веб-страницу, которую Вы посещаете на определенном веб-сайте. Но пока Вы можете отключить автозаполнение, чтобы обезопасить себя.
