不要在您的密码管理器上使用自动填充

密码管理器长期以来一直提供自动填充–服务或应用程序可以在保存的网站上使用您的用户ID和密码自动填写登录表单。但这项功能也有风险，对于流行的服务Bitwarden来说，风险足够高，你应该避免全部自动填充。

一般来说，安全专家建议关闭最主动的自动填写版本，在该版本中，您的凭据会在保存的网站上自动填写。如果网站被攻破，恶意攻击者可以在你视觉上确认页面正常之前捕获你的登录信息。

但正如安全公司Flashpoint t.io上周在一篇博客文章中详细描述的那样，Bitwarden的自动填充比其他服务有更深的漏洞。在使用iframe的网站上–一个页面从不同的网页加载HTML元素–外部网站上的登录表单仍然填写着保存的网站的用户ID和密码信息。如果这些外部HTML元素中的任何一个被泄露(如广告，这是已知的利用漏洞的媒介)，结果可能是登录数据被盗。

这种放任不是偶然的，而是故意的：在2018年底发布的该公司关于该问题的文件中，Bitwarden表示，其目标是鼓励更好地适应密码管理器。该公司给出了iCloud的例子，作为一个主要的网站，它仍然使用iframe连接到apple.com进行登录。

文章:《不要在您的密码管理器上使用自动填充-尤其是当它是Bitwarden时》_配图

无论您让Bitwarden抢先填写登录表单还是手动触发自动填充，都存在此漏洞；Flashpoint的测试表明，无论使用哪种方式，自动填充都存在相同的风险。当用户填写不同页面或网站上的表格时，Bitwarden也不会发出警告，还会向网站的子域提供免费通行证。与此同时，其他密码管理器看起来更安全，因为它们的自动填充策略仍然更加严格。在Flashpoint对竞争对手的抽查中，他们只会自动填写保存在金库入口中的网站，或者至少在IFRAME拉入外部表单时闪烁警告。

作为密码管理器用户，您可以采取两个主要步骤来保护自己免受此类漏洞的攻击。(不，答案不是永远不使用密码管理器。)

如果你决定坚持使用Bitwarden，这是一项可靠的服务，也是我们最喜欢的免费密码管理器，你也应该放弃抢占式自动填充。但你也应该采取这一预防措施：

文章:《不要在您的密码管理器上使用自动填充-尤其是当它是Bitwarden时》_配图1