Finns det någon risk att använda lösenordshanterarens funktion för automatisk ifyllning? Nja, det finns ingen akut, föreliggande fara. Jag oroar mig däremot för två hypotetiska risker, vilka är anledningarna till att jag har funktionen inaktiverad.
Den första risken uppstår om en angripare hittar säkerhetsbrister i webbläsaren. Då kan angriparen sätta upp en infekterad webbplats som utger sig för att den riktiga webbplatsen där jag har inloggningsuppgifter. Ifall den hypotetiska säkerhetsbristen kan utnyttjas för att lura webbläsaren att den riktiga sidan visas, kommer lösenordshanteraren gladeligen att förse den infekterade webbplatsen med inloggningsuppgifterna genom den automatiska ifyllningen. Med automatisk ifyllning inaktiverat blir det svårare för en angripare att utnyttja opatchade buggar i webbläsaren för att komma åt innehållet i min lösenordshanterare.
Den andra risken handlar om dataläckage mellan webbplatser som ligger på olika subdomäner till samma domän. Då finns risken att webbläsartillägget fyller i inloggningsuppgifterna som tillhör den ena subdomänen i den andra subdomänens inloggningsfält. Dessa uppgifter kan webbplatsen på den andra subdomänen samla in, trots att jag inte trycker på “logga in-knappen”. Samma teknik används på webbplatser där besökare ska fylla i långa formulär. I stället för att enbart spara informationen som besökaren till slut skickar in, spelar webbplatsen in hela ifyllningsprocessen och sparar på så vis också eventuell information som raderas i sista stund.
Genom att inaktivera automatisk ifyllning blir det svårare att lura lösenordshanterarens webbläsartillägg samtidigt som det blir lite svårare för mig att använda det. För mig är det värt det extra besväret, men notera att jag väljer det för att minimera riskerna från hypotetiska attacker.
I Lastpass går det att inaktivera automatisk ifyllning för webbläsartillägget genom att klicka på Lastpass-ikonen, välja Inställningar och kryssa ur Fyll i inloggningsinformation automatiskt.
Det går också att inaktivera automatisk ifyllning för utvalda, känsliga webbplatser. Det görs genom att kryssa i Disable Autofill på webbplatskortet.
Kommentarer
Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.