Sicherheitsrisiken bei der Autovervollständigung

990
wizlog

Ich habe von Websites gehört, deren Felder für die automatische Vervollständigung nicht sichtbar sind. Daher werden zusätzliche Informationen erfasst, wenn ein Benutzer die automatische Vervollständigung verwendet (z. B. ein ausgeblendetes Adressfeld, das nur mit der automatischen Vervollständigung ausgefüllt wird).

Beim Lesen der Antwort auf Kann ich Google Chrome dazu zwingen, sich Passwörter zu merken? Ich frage mich, ob Sie dadurch zusätzliche Phishing-Betrügereien oder andere Sicherheits- / Sicherheitslücken bekommen, die sonst kein Problem wären.

3

1 Antwort auf die Frage

5
nik

Die Funktion, auf die Sie verweisen, ist Autofill, wird jedoch auf einer Webseite häufig als Autovervollständigung (von Formularen) bezeichnet.

Dabei wird anhand eines Feldnamens aus dem Formular angegeben, was ausgefüllt werden soll. Wenn die 'Rogue'-Seite beschließt, dieses Feld überhaupt nicht zu rendern, verpassen Sie es möglicherweise nicht. Bei den meisten Methoden verwendet die Automatisierung jedoch Details wie den Domänennamen, um die Felder einzugeben (sie verwenden nicht dasselbe Kennwort für Standorte, nur weil Sie denselben Benutzernamen haben).

Trotzdem ist es eine gute Idee, sich von solchen Automatisierungsmechanismen überhaupt keine kritischen Passwörter (zum Beispiel Ihre Bank) merken zu lassen. Es gibt viele Möglichkeiten, solche Daten aus dem Browser zu hijacken, die alle von den derzeit verfügbaren Sicherheitsanfälligkeiten abhängen.

Beispiel: Verwenden von Autofill mit Lastpass .
Sie können sich dennoch entscheiden, diese Option nicht für Ihre kritischen Passwörter zu verwenden - unabhängig von AmEx

Update basierend auf Kommentar.
Die Automatisierung unterscheidet sich in der Regel besser von Phish-Versuchen, da sie nicht auf Störungen beschränkt ist, die mit dem menschlichen Muster übereinstimmen. Aber ich denke, wir verstehen das beide. Was uns mit dem Form-Autovervollständigen-Teil zurücklässt - lassen Sie mich auf diese Mozilla-Seite verweisen, wenn Sie die automatische Vervollständigung von Formularen deaktivieren . Verwenden Sie es einfach nicht. :-)
Ich denke, die lastpassMethode wird relativ geeigneter sein.

Danke für deine Antwort. Ich weiß, dass mein Passwort für die X-Site nur auf der X-Site automatisch vervollständigt wird. Ich denke, Sie beziehen sich auf Phishing-Seiten (tun Sie so, als würden Sie wie eine andere Seite aussehen, in der Hoffnung, dass Benutzer persönliche Informationen freigeben). Ich beziehe mich auf ein Feld, in dem nicht alle Felder angezeigt werden. Ich hoffe, die Benutzer verwenden Autocomplete und mehr ihrer persönlichen Informationen werden ausgefüllt, als sie sehen es füllt auch das Feld "Adresse" oder "Nachname" aus (was Sie nicht sehen). wizlog vor 12 Jahren 0
Letzter Pass hatte vor einiger Zeit einen Sicherheitsunfall: blog.lastpass.com/2011/05/lastpass-security-notification.html. In der Regel sind Kennwortmanager von Drittanbietern möglicherweise sicherer, da sie nicht Teil des Browsers sind (obwohl sie über Plugins interagieren). Es besteht jedoch ein Problem mit der Vertrauenswürdigkeit des Anbieters. lupincho vor 12 Jahren 0
Informationen zu den verborgenen Feldern: Bei Kennwortmanagern von Drittanbietern wird normalerweise angezeigt, welche Felder gespeichert werden lupincho vor 12 Jahren 0
@lupincho, ich habe von dieser Lastpass-Störung gehört. Im Allgemeinen würde ich vorschlagen, diese Dinge für das typische Anmelde- und Formularmanagement zu verwenden, damit Ihr Kopf mehr Komfort hat, um sich an die kritischen zu erinnern. nik vor 12 Jahren 0
@nik, ja; Ich habe nur darauf hingewiesen, dass ein Problem durch ein anderes ersetzt wird. Bei „gewöhnlichen“ Passwörtern sollten Manager von Drittanbietern helfen, das Problem zu lösen, da die gespeicherten Daten besser kontrolliert werden können. lupincho vor 12 Jahren 0

Verwandte Probleme