Os anunciantes encontraram uma nova maneira de rastreá-lo. De acordo com a Freedom to Tinker , algumas redes de anúncios agora estão abusando de scripts de rastreamento para capturar os endereços de e-mail que seu gerenciador de senhas preenche automaticamente em sites.
Mas fica pior: eles poderiam usar essa tecnologia para capturar suas senhas também, se quisessem. Isso afeta todos que usam um gerenciador de senhas, seja um gerenciador de senhas integrado como o do Chrome, Firefox ou Edge, ou uma extensão do navegador como LastPass . Como resultado, você provavelmente deve desativar o recurso de preenchimento automático para evitar que isso aconteça.
Índice
Como o preenchimento automático está vazando suas informações
Quando você salva seu nome de usuário e senha em um site, o gerenciador de senhas os lembra. Desse ponto em diante, ele tentará preenchê-los automaticamente nas caixas de nome de usuário e senha que vê naquele site. Isso torna o login mais rápido, bastando clicar em “Login”.
Mas alguns scripts de publicidade de terceiros – aqueles que quase todos os sites usam – estão começando a usá-los para rastrear você. Eles são executados em segundo plano, criam caixas de login e senha falsas que você nem consegue ver e capturam as credenciais que seu gerenciador de senhas preenche nelas.
Você mesmo pode ver esse problema visitando esta página de demonstração . Preencha um endereço de e-mail e uma senha falsos e será solicitado que você os salve no gerenciador de senhas do seu navegador. Continue e ele será preenchido automaticamente em segundo plano, com o script capturando o endereço de e-mail e a senha.
Este site de demonstração atualmente não mostra nenhum problema se você usar o LastPass, mas qualquer coisa que preencha automaticamente nomes de usuário e senhas sem intervenção do usuário – LastPass incluído – é teoricamente vulnerável.
Você precisa de senhas exclusivas em todos os lugares, então os gerenciadores de senhas ainda são essenciais
Esse problema demonstra a importância de usar senhas exclusivas em todos os sites. Não é apenas um ataque teórico – na verdade, está sendo usado por anunciantes em 1110 dos 1 milhão de sites mais populares da atualidade, de acordo com a Freedom to Tinker. Os anunciantes estão atualmente usando essa técnica apenas para capturar nomes de usuário e endereços de e-mail, mas não há nada que os impeça de capturar senhas também, se alguém estiver com um humor particularmente nefasto algum dia.
Se um anunciante conseguiu capturar sua senha em um site, o pior que alguém com esses dados poderia fazer é entrar nesse site. Isso não é o ideal, mas não é a pior coisa que poderia acontecer. se você usar a mesma senha para esse site da Web que usa para sua conta de e-mail, essa pessoa poderá acessar sua conta de e-mail e usá-la para obter acesso às suas outras contas. Isso é o pior que poderia acontecer.
É por isso que ainda recomendamos usar um gerenciador de senhas , não importa o quê. Com todas as contas diferentes que uma pessoa comum tem online, e a frequência dos ataques contra esses sites, é fundamental que você use uma senha exclusiva para cada site que visitar. A melhor maneira de fazer isso é com um gerenciador de senhas – não jogue o bebê fora com a água do banho.
Proteja-se desativando o preenchimento automático
No entanto, você ainda pode reduzir alguns dos riscos desses scripts, desativando o preenchimento automático em seu gerenciador de senhas. Por exemplo, se você usar o LastPass (que atualmente não é afetado por esses scripts, mas teoricamente poderia ser), o recurso de preenchimento automático preenche os campos de login com suas credenciais para que você possa clicar em “Login”. Se você desabilitar o recurso de preenchimento automático, você terá que clicar no ícone LastPass em um campo de senha e clicar em seu nome de usuário para preencher as informações salvas. Você só fará isso ao tentar fazer login, portanto, isso deve proteger suas credenciais de serem coletadas. Você não está mais espalhando-os em todas as páginas.
Você também pode simplesmente copiar e colar nomes de usuário e senhas do gerenciador de senhas de sua escolha, e isso o tornaria ainda mais seguro – mas significativamente menos conveniente. Acreditamos que a escolha de iniciar o preenchimento automático manualmente apenas nas páginas de login deve ser um bom meio-termo entre segurança e conveniência. Se essas páginas de login foram comprometidas com tal script, nada poderia ajudá-lo, de qualquer maneira – o script poderia ler seus detalhes de login mesmo se você copiasse e colasse ou os digitasse manualmente.
Infelizmente, a maioria dos gerenciadores de senhas do navegador não permite que você desative o preenchimento automático. Não há como desabilitar o recurso de preenchimento automático se você estiver usando o gerenciador de senhas integrado no Google Chrome ou Microsoft Edge, por exemplo. O Chrome tem a opção de desativar o preenchimento automático, mas desativa apenas o preenchimento automático de dados como endereços e números de telefone, não senhas. Há uma opção para desativar o preenchimento automático de senhas no gerenciador de senhas do Mozilla Firefox, mas está oculto em about: config .
Se você estiver usando o gerenciador de senhas embutido no Chrome ou Edge, encorajamos você a mudar para um gerenciador de senhas de terceiros que oferece mais controle, como LastPass ou 1Password . 1A senha não é afetada por este problema porque não inclui um recurso de preenchimento automático.
No LastPass, você pode desabilitar o preenchimento automático clicando no botão da extensão LastPass na barra de ferramentas do seu navegador e clicando em “Preferências”. Desmarque a opção “Preencher automaticamente as informações de login” em Geral e clique em “Salvar” para salvar suas alterações.
Se quiser continuar usando o gerenciador de senhas do Firefox, você deve digitar “about: config” na barra de endereços do Firefox e pressionar Enter. Você verá uma tela de aviso informando que alterar várias configurações aqui pode causar problemas. Não se preocupe – se você apenas alterar a única configuração que indicamos, você ficará bem. Clique em “Aceito o risco!” continuar.
Digite “autofillForms” na caixa de pesquisa e clique duas vezes na preferência “signon.autofillForms” para definir como “false”. O Firefox não irá mais preencher automaticamente nomes de usuário e senhas sem sua permissão.
Se estiver usando outro gerenciador de senhas, você deve abrir suas preferências e desabilitar a opção “autopreencher” ou “preencher automaticamente” para garantir que seu gerenciador de senhas não vaze suas informações pessoais.
Os desenvolvedores de navegador e gerenciador de senhas precisam repensar os gerenciadores de senhas para torná-los mais seguros. Eles não devem tentar preencher automaticamente seus dados de login em cada página da web que você visita em um determinado site. Isso é apenas procurar encrenca. Mas, por enquanto, você pode desativar o preenchimento automático para se tornar mais seguro.
Crédito de imagem: vladwei /Shutterstock.com.