Gli inserzionisti hanno trovato un nuovo modo per rintracciarti. Secondo Freedom to Tinker, alcune reti pubblicitarie stanno ora abusando di script di tracciamento per acquisire gli indirizzi email che il tuo gestore di password riempie automaticamente sui siti web.
Ancora peggio: potrebbero usare questa tecnologia per catturare anche le tue password, se lo volessero. Ciò riguarda tutti coloro che utilizzano un gestore di password, sia che si tratti di un gestore di password integrato come quello di Chrome, Firefox o Edge o un'estensione del browser come LastPass. Di conseguenza, dovresti probabilmente disabilitare la funzione di riempimento automatico per evitare che ciò accada.
In che modo la compilazione automatica della password sta fornendo tue informazioni
Quando si salva il nome utente e la password su un sito Web, il gestore password li ricorda. Da quel momento in avanti, cercherà di riempirli automaticamente in caselle di nome utente e password che vede su ogni sito sul quale ti sei loggato. Questo rende la registrazione più veloce, basta fare clic su "Accedi".
Ma alcuni script pubblicitari di terze parti, quelli che utilizza quasi tutti i siti Web, stanno iniziando a utilizzarli per rintracciarti. Funzionano in background, creano finestre di login e password false che non riesci nemmeno a vedere e catturano le credenziali che il tuo gestore di password inserisce in esse.
Puoi vedere chiaramente questo problema da solo visitando questa pagina di dimostrazione. Inserisci un indirizzo e-mail e una password falsi e ti verrà richiesto di salvarlo nel gestore di password del tuo browser. Continua, e sarà autofilled in background, con lo script che cattura l'indirizzo email e la password.
Questo sito dimostrativo non presenta attualmente alcun problema se si utilizza LastPass, ma qualsiasi cosa che riempia automaticamente nomi utente e password senza intervento da parte dell'utente, incluso LastPass, è teoricamente vulnerabile.
Hai bisogno di password uniche ovunque, quindi i gestori di password sono ancora necessari
Questo problema dimostra l'importanza dell'utilizzo di password univoche su ogni sito Web. Non è solo un attacco teorico, è in realtà utilizzato dagli inserzionisti su milioni di siti Web oggi, secondo Freedom to Tinker. Gli inserzionisti stanno attualmente utilizzando questa tecnica per catturare nomi utente e indirizzi email, ma non c'è nulla che impedisca loro di catturare le password, se un giorno uno di loro fosse particolarmente nefasto.Se un inserzionista ha catturato la tua password su un sito Web, la peggiore persona con cui i dati potrebbero fare è accedere a quel sito web. Non è l'ideale, ma non è la cosa peggiore che potrebbe accadere. se si utilizza la stessa password per quel sito Web come per il proprio account di posta elettronica, tale persona potrebbe quindi accedere al proprio account di posta elettronica e utilizzarlo per accedere agli altri account. Questo è il peggiore caso che potrebbe accadere.
Questo è il motivo per cui consigliamo ancora di utilizzare un gestore di password, non importa quale. Con tutti i diversi account che la persona media ha online e la frequenza degli attacchi contro questi siti web, è assolutamente necessario utilizzare una password univoca per ogni sito che visiti. Il modo migliore per farlo è con un gestore di password.
Proteggiti disattivando il riempimento automatico della password
Tuttavia, puoi comunque mitigare alcuni dei tuoi rischi da questi script disabilitando la compilazione automatica nel tuo gestore di password. Ad esempio, se si utilizza LastPass (che non è attualmente interessato da questi script, ma teoricamente potrebbe esserlo), la funzione di riempimento automatico compila i campi di accesso con le credenziali in modo che sia sufficiente fare clic su "Accedi". Se disattivi la funzione di riempimento automatico, dovrai fare clic sull'icona LastPass in un campo password e fare clic sul tuo nome utente per riempire le informazioni salvate. Lo farai solo quando proverai ad accedere, quindi questo dovrebbe proteggere le tue credenziali dall'essere recuperate da malintenzionati.
Potresti anche copiare e incollare nomi utente e password dal tuo gestore di password di scelta, e questo ti renderebbe ancora più sicuro, ma significativamente meno conveniente. Riteniamo che la scelta di avviare manualmente la compilazione automatica solo nelle pagine di accesso dovrebbe costituire una buona via di mezzo tra sicurezza e convenienza. Se quelle pagine di accesso sono state compromesse con tale script, nulla potrebbe aiutarti comunque: lo script potrebbe leggere i tuoi dati di accesso anche se li hai copiati e incollati o inseriti manualmente.
Sfortunatamente, la maggior parte dei gestori di password del browser non ti permettono di disabilitare la compilazione automatica. Ad esempio, non è possibile disabilitare la funzione di riempimento automatico se utilizzi il gestore delle password integrato in Google Chrome o Microsoft Edge. Chrome ha un'opzione per disabilitare il riempimento automatico, ma disattiva solo il riempimento automatico dei dati come indirizzi e numeri di telefono, non le password. C'è un'opzione per disabilitare il riempimento automatico delle password nel gestore delle password di Mozilla Firefox, ma è nascosto in about: config.
Se utilizzi la Gestione password integrata in Chrome o Edge, ti invitiamo a passare a un gestore di password di terze parti che offre un maggiore controllo, come LastPass o 1Password. 1Password non è interessato da questo problema perché non include una funzione di riempimento automatico automatico.
In LastPass, puoi disattivare il riempimento automatico facendo clic sul pulsante dell'estensione LastPass sulla barra degli strumenti del browser e facendo clic su "Preferenze". Deseleziona l'opzione "Compila automaticamente le informazioni di accesso" sotto Generale e quindi fai clic su "Salva" per salvare le modifiche.
Se vuoi continuare a utilizzare il gestore password di Firefox, devi digitare "about: config" nella barra degli indirizzi di Firefox e premere Invio. Verrà visualizzata una schermata di avviso per informarti che la modifica di varie impostazioni qui potrebbe causare problemi. Non ti preoccupare, se cambi la singola impostazione che ti viene indicata, farai la cosa giusta. Fai clic su "Accetto il rischio!" Per continuare.
Digita "autofillForms" "autocompilazione" nella casella di ricerca e fai doppio clic sulla preferenza "signon.autofillForms" per impostarla su "false". Firefox non compilerà automaticamente nomi utente e password senza la tua autorizzazione.
Se stai utilizzando un altro gestore di password, devi aprire le tue preferenze e disabilitare l'opzione "riempimento automatico" per assicurarti che il tuo gestore di password non perderà le tue informazioni personali.
Gli sviluppatori di browser e password manager devono ripensare i gestori di password per renderli più sicuri. Non dovrebbero cercare di riempire automaticamente i dati di accesso su ogni singola pagina Web visitata su un determinato sito Web. Questo è solo un problema. Ma, per ora, puoi disattivare il riempimento automatico per renderti più sicuro.
Potrebbe interessarti anche:
- Come eliminare le App consigliate in Windows 10
- Come abilitare ed utilizzare i nuovi comandi ssh di Windows 10
- Sapevate che Windows Office 365 fa telefonare gratis?
- Come vedere quali siti web si collegano segretamente al nostro PC windows.
- Come registrare l'audio del PC senza mixer audio
