不要在您的密码管理器上使用自动填充
密码管理器长期以来一直提供自动填充–服务或应用程序可以在保存的网站上使用您的用户ID和密码自动填写登录表单。但这项功能也有风险,对于流行的服务Bitwarden来说,风险足够高,你应该避免全部自动填充。
一般来说,安全专家建议关闭最主动的自动填写版本,在该版本中,您的凭据会在保存的网站上自动填写。如果网站被攻破,恶意攻击者可以在你视觉上确认页面正常之前捕获你的登录信息。
但正如安全公司Flashpoint t.io上周在一篇博客文章中详细描述的那样,Bitwarden的自动填充比其他服务有更深的漏洞。在使用iframe的网站上–一个页面从不同的网页加载HTML元素–外部网站上的登录表单仍然填写着保存的网站的用户ID和密码信息。如果这些外部HTML元素中的任何一个被泄露(如广告,这是已知的利用漏洞的媒介),结果可能是登录数据被盗。
这种放任不是偶然的,而是故意的:在2018年底发布的该公司关于该问题的文件中,Bitwarden表示,其目标是鼓励更好地适应密码管理器。该公司给出了iCloud的例子,作为一个主要的网站,它仍然使用iframe连接到apple.com进行登录。
无论您让Bitwarden抢先填写登录表单还是手动触发自动填充,都存在此漏洞;Flashpoint的测试表明,无论使用哪种方式,自动填充都存在相同的风险。当用户填写不同页面或网站上的表格时,Bitwarden也不会发出警告,还会向网站的子域提供免费通行证。与此同时,其他密码管理器看起来更安全,因为它们的自动填充策略仍然更加严格。在Flashpoint对竞争对手的抽查中,他们只会自动填写保存在金库入口中的网站,或者至少在IFRAME拉入外部表单时闪烁警告。
作为密码管理器用户,您可以采取两个主要步骤来保护自己免受此类漏洞的攻击。(不,答案不是永远不使用密码管理器。)
如果你决定坚持使用Bitwarden,这是一项可靠的服务,也是我们最喜欢的免费密码管理器,你也应该放弃抢占式自动填充。但你也应该采取这一预防措施:
不幸的是,Bitwarden用户在将密码管理器中的登录信息复制并粘贴到表单中时,似乎无法绕过此自动填充问题。如果外部托管的窗体受到威胁,它就会受到威胁。因此,无论您如何输入登录详细信息,您都不会知道它是内部托管的还是外部托管的–这就是问题所在。
至于被入侵的官方网站,目前还没有任何东西可以抵御这种情况。这就是为什么每个网站、服务和应用程序的随机密码如此重要–它们将损害限制在一个地方。不管你喜不喜欢,跟踪数十个(如果不是数百个)凭据的最好方法是密码管理器。明智地选择(和使用)一个,你应该避免最大的麻烦。
外链关键词: 游戏的利弊作文 山西专升本机械最高分数 法考报名入口 银行的盈利模式 大连民族大学就业网 扬州高校专升本 服装专业试卷 独山子招聘信息本文地址: https://www.q16k.com/article/75166757dc7d7472ef0c.html