パスワードマネージャで自動入力をオフにする必要があります
広告主はあなたを追跡するための新しい方法を見つけました。 Freedom to Tinkerによると、いくつかの広告ネットワークでは現在、トラッキングマネージャがあなたのパスワードマネージャがWebサイトに自動入力したEメールアドレスを捕捉するために悪用されています。.
しかしそれはさらに悪いことに、彼らが望めば、彼らもあなたのパスワードを捉えるためにその技術を使うことができます。これは、パスワードマネージャを使用しているすべての人に影響を及ぼします。Chrome、Firefox、Edgeなどの内蔵パスワードマネージャ、またはLastPassなどのブラウザ拡張機能です。そのため、自動入力機能を無効にしてこれを防ぐようにしてください。.
オートフィルがどのようにあなたの情報を漏らしているのか
ユーザ名とパスワードをWebサイトに保存すると、パスワードマネージャはそれらを覚えています。それ以降は、そのWebサイトに表示されるユーザー名とパスワードのボックスに自動的に入力しようとします。 「ログイン」をクリックするだけでよいので、サインインが速くなります。.
しかし、サードパーティの広告スクリプトの中には、ほぼすべてのWebサイトで使用されているものが、あなたを追跡するためにこれらを使用し始めているものもあります。それらはバックグラウンドで実行され、あなたが見ることさえできない偽のログインとパスワードボックスを作成し、あなたのパスワードマネージャがそれらに記入した資格情報を捕獲します.
このデモページにアクセスすると、自分でこの問題を確認できます。偽のメールアドレスとパスワードを入力すると、ブラウザのパスワードマネージャに保存するように求められます。続行すると、スクリプトが電子メールアドレスとパスワードをキャプチャして、バックグラウンドで自動入力されます。.
このデモサイトでは、現在LastPassを使用しても問題はありませんが、ユーザーの介入なしに自動的にユーザー名とパスワードを入力するもの(LastPassを含む)は理論的に脆弱です。.
あなたはいたるところにユニークなパスワードが必要なので、パスワードマネージャは依然として不可欠です
この問題は、すべてのWebサイトで固有のパスワードを使用することの重要性を示しています。これは単なる理論上の攻撃ではありません - Freedom to Tinkerによると、今日の上位100万のWebサイトのうち1110の広告主によって実際に使用されています。広告主は現在、ユーザー名と電子メールアドレスをキャプチャするためにこの手法を使用していますが、いつか特に気まずい気分になれば、パスワードをキャプチャするのを阻止するものは何もありません。.
広告主がWebサイトであなたのパスワードを取得した場合、そのデータを持つことができる最悪の人はそのWebサイトにサインインすることです。それは理想的ではありませんが、起こりうる最悪のことではありません。あなたがあなたのEメールアカウントに使うのと同じWebサイトに同じパスワードを使うと、その人はあなたのEメールアカウントにアクセスし、あなたの他のアカウントにアクセスするためにそれを使うことができます。. それは 起こりうる最悪のこと.
これが、パスワードマネージャの使用を推奨している理由です。一般の人がオンラインで持っているすべての異なるアカウント、およびこれらのWebサイトに対する攻撃の頻度を考えると、あなたが訪問するすべてのサイトに固有のパスワードを使用することが不可欠です。そのための最善の方法は、パスワードマネージャを使用することです。赤ちゃんを風呂水で捨てないでください。.
自動入力を無効にして自分自身を保護する
ただし、パスワードマネージャで自動入力を無効にすることで、これらのスクリプトによるリスクをある程度軽減できます。たとえば、LastPass(現在これらのスクリプトによる影響はありませんが、理論的には影響を受ける可能性があります)を使用すると、自動入力機能によってログインフィールドに自分の資格情報が入力されるので、[Login]をクリックできます。自動入力機能を無効にした場合は、パスワード欄のLastPassアイコンをクリックし、ユーザー名をクリックして保存情報を入力する必要があります。サインインしようとしたときにのみこれを実行するので、これによりあなたの資格情報が詮索されるのを防ぐことができます。あなたはもはやそれらをすべてのページに散らすのではありません.
また、選択したパスワードマネージャからユーザ名とパスワードをコピーアンドペーストするだけでもよいのですが、それによっても安全性は高まりますが、あまり便利ではありません。ログインページでのみオートフィルを手動で開始することを選択することは、セキュリティと利便性の中間点になるはずです。それらのログインページがそのようなスクリプトで危険にさらされているなら、何もあなたを助けることができませんでした - とにかく - あなたがコピーアンドペーストしたり手動でタイプしてもスクリプトはあなたのログイン詳細を読むことができます.
残念ながら、ほとんどのブラウザパスワードマネージャは自動入力を無効にすることを許可していません。たとえば、Google ChromeやMicrosoft Edgeで統合パスワードマネージャを使用している場合は、自動入力機能を無効にする方法はありません。 Chromeには自動入力を無効にするオプションがありますが、アドレスや電話番号などのデータの自動入力は無効になり、パスワードは無効になります。 Mozilla Firefoxのパスワードマネージャにパスワードの自動入力を無効にするオプションがありますが、about:configには表示されません。.
ChromeまたはEdgeで組み込みのパスワードマネージャを使用している場合は、LastPassや1Passwordなど、より細かく制御できるサードパーティのパスワードマネージャに切り替えることをお勧めします。 1Passwordには自動自動入力機能が含まれていないため、この問題の影響はありません。.
LastPassでは、ブラウザのツールバーにあるLastPassの拡張ボタンをクリックして「設定」をクリックすると、自動入力を無効にできます。 [全般]の下にある[自動的にログイン情報を入力する]オプションをオフにし、[保存]をクリックして変更を保存します。.
Firefoxのパスワードマネージャを使い続けたい場合は、Firefoxのアドレスバーに「about:config」と入力してEnterキーを押します。ここでさまざまな設定を変更すると問題が発生する可能性があることを知らせる警告画面が表示されます。心配しないでください - 私たちが指摘した単一の設定を変更するだけで大丈夫です。続行するには、[リスクを承諾します]をクリックします。.
検索ボックスに「autofillForms」と入力し、「signon.autofillForms」設定をダブルクリックして「false」に設定します。 Firefoxはあなたの許可なくユーザー名とパスワードを自動入力しなくなります。.
他のパスワードマネージャを使用している場合は、その設定を開き、「自動入力」または「自動入力」オプションを無効にして、パスワードマネージャが個人情報を漏らさないようにする必要があります。.
ブラウザとパスワードマネージャの開発者は、パスワードマネージャをより安全にするために、パスワードマネージャを再考する必要があります。特定のWebサイトでアクセスしたすべてのWebページにログインデータを自動的に入力しようとしないでください。それはただトラブルを求めているだけです。しかし、今のところ、あなたは自分自身をより安全にするために自動入力を無効にすることができます.
画像クレジット:vladwei / Shutterstock.com.