Detta är svar på en fråga som kommit till Nikka Systems. Vill du också ha svar på en IT-säkerhetsfråga? Ställ den i Säkerhetsbubblan så kan du få svar från oss och tusentals IT-säkerhetsintresserade medlemmar.
Automatisk ifyllnad på webbsida

Lösenordshanterare med auto-ifyllning

Finns det någon risk att använda lösenordshanterarens funktion för automatisk ifyllning?

Det finns ingen akut, föreliggande fara med att ha automatisk ifyllning aktiverad. Jag oroar mig däremot för två hypotetiska risker, vilka är anledningarna till att jag har funktionen inaktiverad.

Den första risken uppstår om en angripare hittar säkerhetsbrister i webbläsaren. Då kan angriparen sätta upp en infekterad webbplats som utger sig för att den riktiga webbplatsen där jag har inloggningsuppgifter. Ifall den hypotetiska säkerhetsbristen kan utnyttjas för att lura webbläsaren att den riktiga sidan visas, kommer lösenordshanteraren gladeligen att förse den infekterade webbplatsen med inloggningsuppgifterna genom den automatiska ifyllningen. Med automatisk ifyllning inaktiverat blir det svårare för en angripare att utnyttja opatchade buggar i webbläsaren för att komma åt innehållet i min lösenordshanterare.

Den andra risken handlar om dataläckage mellan webbplatser som ligger på olika subdomäner till samma domän. Då finns risken att webbläsartillägget fyller i inloggningsuppgifterna som tillhör den ena subdomänen i den andra subdomänens inloggningsfält. Dessa uppgifter kan webbplatsen på den andra subdomänen samla in, trots att jag inte trycker på ”logga in-knappen”. Samma teknik används på webbplatser där besökare ska fylla i långa formulär. I stället för att enbart spara informationen som besökaren till slut skickar in, spelar webbplatsen in hela ifyllningsprocessen och sparar på så vis också eventuell information som raderas i sista stund.

Genom att inaktivera automatisk ifyllning blir det svårare att lura lösenordshanterarens webbläsartillägg samtidigt som det blir lite svårare för mig att använda det. För mig är det värt det extra besväret, men notera att jag väljer det för att minimera riskerna från hypotetiska attacker.

I Lastpass går det att inaktivera automatisk ifyllning för webbläsartillägget genom att klicka på Lastpass-ikonen, välja Inställningar och kryssa ur Fyll i inloggningsinformation automatiskt.

Kryssa ur rutan för att inaktivera automatisk ifyllning.

Det går också att inaktivera automatisk ifyllning för utvalda, känsliga webbplatser. Det görs genom att kryssa i Disable Autofill på webbplatskortet.

Inställningssida i Lastpass
Kryssa i rutan för att inaktivera automatisk ifyllning för en aktuell webbplats.
Denna fråga ställdes i Facebook-gruppen Säkerhetsbubblan som alla IT-säkerhetsintresserade personer kan ansöka om medlemskap i (kostnadsfritt). Gå med idag!

Lämna en kommentar

Mer från blisäker.se

Nyhetsbrev

Få nyheterna från Bli säker-bloggen till din inkorg en gång per vecka. Läs mer.

Följer du oss?