Pengiklan telah menemukan cara baru untuk melacak Anda. Menurut Freedom to Tinker, beberapa jaringan iklan sekarang menyalahgunakan skrip pelacakan untuk menangkap alamat email yang secara otomatis diisi oleh pengelola kata sandi Anda di situs web.
Tetapi semakin buruk: mereka bisa menggunakan teknologi itu untuk menangkap kata sandi Anda juga, jika mereka mau. Ini memengaruhi semua orang yang menggunakan pengelola kata sandi, baik itu pengelola kata sandi internal seperti yang ada di Chrome, Firefox, atau Edge, atau ekstensi peramban seperti LastPass. Akibatnya, Anda mungkin harus menonaktifkan fitur autofill untuk mencegah hal ini terjadi.
Saat Anda menyimpan nama pengguna dan kata sandi di situs web, pengelola kata sandi Anda akan mengingatnya. Mulai saat itu, ia akan berusaha mengisinya secara otomatis ke dalam kotak nama pengguna dan kata sandi yang dilihatnya di situs web itu. Ini membuat proses masuk lebih cepat, karena Anda cukup mengeklik "Masuk".
Tetapi beberapa skrip iklan pihak ketiga - yang digunakan hampir semua situs web di luar sana - mulai menggunakannya untuk melacak Anda. Mereka berjalan di latar belakang, membuat kotak masuk dan kata sandi palsu yang bahkan tidak dapat Anda lihat, dan menangkap kredensial yang diisi oleh pengelola kata sandi Anda.
Anda dapat melihat masalah ini sendiri dengan mengunjungi halaman demonstrasi ini. Isi alamat email dan kata sandi palsu, dan Anda akan diminta untuk menyimpannya di pengelola kata sandi browser Anda. Lanjutkan, dan itu akan diisi otomatis di latar belakang, dengan skrip menangkap alamat email dan kata sandi.
Situs demonstrasi ini saat ini tidak menunjukkan masalah apa pun jika Anda menggunakan LastPass, tetapi apa pun yang secara otomatis mengisi nama pengguna dan kata sandi tanpa campur tangan pengguna, termasuk LastPass, secara teoritis rentan.
Masalah ini menunjukkan pentingnya menggunakan kata sandi unik di setiap situs web. Ini bukan hanya serangan teoretis - itu benar-benar digunakan oleh pengiklan di 1110 dari satu juta situs web teratas saat ini, menurut Freedom to Tinker. Pengiklan saat ini hanya menggunakan teknik ini untuk menangkap nama pengguna dan alamat email, tetapi tidak ada yang menghentikan mereka dari menangkap kata sandi juga, jika seseorang dalam suasana yang sangat jahat suatu hari nanti.
Jika pengiklan menangkap kata sandi Anda di situs web, orang yang paling buruk dengan data itu dapat melakukannya adalah masuk ke situs web itu. Itu tidak ideal, tapi itu bukan hal terburuk yang bisa terjadi. jika Anda menggunakan kata sandi yang sama untuk situs web itu seperti yang Anda lakukan untuk akun email Anda, orang itu kemudian dapat mengakses akun email Anda dan menggunakannya untuk mendapatkan akses ke akun Anda yang lain. Itu hal terburuk yang bisa terjadi.
Inilah sebabnya mengapa kami masih menyarankan penggunaan pengelola kata sandi, apa pun yang terjadi. Dengan semua akun berbeda yang dimiliki orang rata-rata daring, dan frekuensi serangan terhadap situs web ini, Anda harus menggunakan kata sandi unik untuk setiap situs yang Anda kunjungi. Cara terbaik untuk melakukannya adalah dengan manajer kata sandi - jangan membuang bayi dengan air mandi.
Namun, Anda masih dapat mengurangi sebagian risiko dari skrip ini dengan menonaktifkan isiotomatis di pengelola kata sandi Anda. Sebagai contoh, jika Anda menggunakan LastPass (yang saat ini tidak dipengaruhi oleh skrip ini, tetapi secara teoritis bisa), fitur isi otomatis mengisi kolom login dengan kredensial Anda sehingga Anda cukup mengklik "Login". Jika Anda menonaktifkan fitur autofill, Anda harus mengklik ikon LastPass di bidang kata sandi dan klik nama pengguna Anda untuk mengisi informasi yang Anda simpan. Anda hanya akan melakukan ini ketika mencoba masuk, jadi ini harus melindungi kredensial Anda dari meraup. Anda tidak lagi menyemprotkannya ke semua halaman.
Anda juga dapat menyalin-dan-paste nama pengguna dan kata sandi dari manajer kata sandi pilihan Anda, dan itu akan membuat Anda lebih aman-tetapi secara signifikan kurang nyaman. Kami pikir memilih untuk secara manual menginisialisasi autofill hanya pada halaman login harus menjadi titik tengah yang baik antara keamanan dan kenyamanan. Jika laman masuk tersebut disusupi dengan skrip semacam itu, tidak ada yang dapat membantu Anda, bagaimanapun juga skrip dapat membaca detail info masuk Anda bahkan jika Anda menyalin dan menyisipkan atau mengetikkannya secara manual.
Sayangnya, sebagian besar pengelola kata sandi browser tidak mengizinkan Anda menonaktifkan isi otomatis. Tidak ada cara untuk menonaktifkan fitur autofill jika Anda menggunakan pengelola kata sandi terintegrasi di Google Chrome atau Microsoft Edge, misalnya. Chrome memang memiliki opsi untuk menonaktifkan isiotomatis, tetapi hanya menonaktifkan autofill data seperti alamat dan nomor telepon, bukan kata sandi. Ada opsi untuk menonaktifkan autofill password di pengelola kata sandi Mozilla Firefox, tetapi tersembunyi di about: config.
Jika Anda menggunakan pengelola kata sandi internal di Chrome atau Edge, sebaiknya Anda beralih ke pengelola kata sandi pihak ketiga yang menawarkan lebih banyak kontrol, seperti LastPass atau 1Password. 1Password tidak terpengaruh oleh masalah ini karena tidak termasuk fitur autofill otomatis.
Di LastPass, Anda dapat menonaktifkan isi otomatis dengan mengklik tombol ekstensi LastPass pada bilah alat browser Anda dan mengklik "Preferensi". Hapus centang opsi "Isi Informasi Masuk Secara Otomatis" di bawah Umum lalu klik "Simpan" untuk menyimpan perubahan Anda.
Jika Anda ingin tetap menggunakan pengelola kata sandi Firefox, Anda harus mengetikkan “about: config” di address bar Firefox dan tekan Enter. Anda akan melihat layar peringatan yang memberi tahu Anda bahwa mengubah berbagai pengaturan di sini dapat menyebabkan masalah. Jangan khawatir - jika Anda hanya mengubah pengaturan tunggal kami tunjukkan, Anda akan baik-baik saja. Klik "Saya menerima risiko!" Untuk melanjutkan.
Ketik "autofillForms" ke dalam kotak pencarian dan klik dua kali preferensi "signon.autofillForms" untuk mengaturnya menjadi "false". Firefox tidak akan lagi otomatis mengisi nama pengguna dan kata sandi tanpa izin Anda.
Jika Anda menggunakan pengelola kata sandi lain, Anda harus membuka preferensi dan menonaktifkan opsi "isi otomatis" atau "secara otomatis mengisi" untuk memastikan pengelola kata sandi Anda tidak akan membocorkan informasi pribadi Anda.
Pengembang browser dan pengelola kata sandi perlu memikirkan kembali pengelola kata sandi untuk membuatnya lebih aman. Mereka seharusnya tidak mencoba untuk secara otomatis mengisi data login Anda pada setiap halaman web yang Anda kunjungi di situs web tertentu. Itu hanya meminta masalah. Namun, untuk saat ini, Anda dapat menonaktifkan isi otomatis untuk membuat diri Anda lebih aman.
Kredit Gambar: vladwei / Shutterstock.com.
