لطالما عرض مديرو كلمات المرور ميزة الملء التلقائي – وهي قدرة الخدمة أو التطبيق على ملء نماذج تسجيل الدخول تلقائيًا بمعرف المستخدم وكلمة المرور على مواقع الويب المحفوظة. لكن الميزة تنطوي على مخاطر ، وبالنسبة للخدمة الشهيرة Bitwarden ، فإن الخطر مرتفع بما يكفي بحيث يجب عليك تجنب الملء التلقائي معًا.
بشكل عام ، ينصح خبراء الأمان بإيقاف تشغيل الإصدار الأكثر نشاطًا من الملء التلقائي ، حيث يتم ملء بيانات الاعتماد الخاصة بك تلقائيًا في المواقع المحفوظة. إذا تم اختراق موقع ويب ، فيمكن لممثل ضار التقاط معلومات تسجيل الدخول الخاصة بك قبل أن تؤكد بصريًا أن الصفحة تبدو طبيعية.
ولكن كما ذكرت شركة الأمن Flashpoint.io بالتفصيل في منشور مدونة الأسبوع الماضي ، فإن الملء التلقائي لـ Bitwarden لديه نقطة ضعف أعمق من الخدمات الأخرى. على مواقع الويب التي تستخدم إطارات iframe – حيث تقوم الصفحة بتحميل عناصر HTML من صفحة ويب مختلفة – لا تزال نماذج تسجيل الدخول المستضافة على موقع ويب خارجي مملوءة بمعرف مستخدم الموقع المحفوظ ومعلومات كلمة المرور. إذا تم اختراق أي من عناصر HTML الخارجية (مثل الإعلان ، وهو ناقل معروف لعمليات الاستغلال) ، فقد تكون النتيجة سرقة بيانات تسجيل الدخول.
هذا السماح ليس عن طريق الصدفة ، ولكن التصميم: في وثائق الشركة حول هذه المشكلة ، والتي تم نشرها في أواخر عام 2018 ، تنص Bitwarden على أن هدفها هو تشجيع التكيف بشكل أفضل مع مدير كلمات المرور. تقدم الشركة مثال iCloud كموقع ويب رئيسي لا يزال يستخدم إطارات iframes للاتصال بـ apple.com لتسجيل الدخول.
توجد مشكلة عدم الحصانة هذه سواء قمت بتعبئة نماذج تسجيل الدخول بشكل استباقي بواسطة Bitwarden أو قمت بتشغيل الملء التلقائي يدويًا ؛ أظهر اختبار Flashpoint أن استخدام الملء التلقائي يحمل نفس المخاطر. لا يحذر Bitwarden المستخدمين أيضًا عند قيامهم بملء نموذج مستضاف على صفحة أو موقع مختلف ، ويمنح تصريحًا مجانيًا للنطاقات الفرعية لموقع الويب أيضًا. وفي الوقت نفسه ، يبدو أن مديري كلمات المرور الآخرين يمثلون خيارات أكثر أمانًا ، حيث يظلون أكثر صرامة مع سياسات الملء التلقائي الخاصة بهم. أثناء فحص Flashpoint الفوري للمنافسين ، تم تعبئتهم تلقائيًا للموقع المحفوظ في إدخال الخزنة ، أو على الأقل وميض تحذير إذا تم سحب إطار iframe في شكل خارجي.
بصفتك مستخدمًا لإدارة كلمات المرور ، يمكنك اتخاذ خطوتين رئيسيتين لحماية نفسك من هذا النوع من الثغرات الأمنية. (ولا ، الإجابة لا تتمثل في عدم استخدام مدير كلمات المرور مطلقًا.)
- اترك الملء التلقائي الوقائي مغلقًا. يتم تعطيل هذا بشكل افتراضي للخدمات والتطبيقات الجيدة – اترك الأمر على هذا النحو لتحسين الأمان.
- استخدم خدمة أو تطبيقًا لا يقوم بالملء التلقائي للنماذج المستضافة على مواقع خارجية ، أو على الأقل ، سيحذرك من أنك على وشك القيام بذلك.
إذا قررت الالتزام بـ Bitwarden ، وهي خدمة موثوقة بخلاف ذلك ومدير كلمات المرور المجاني المفضل لدينا ، فيجب عليك أيضًا إلغاء الملء التلقائي الاستباقي. لكن يجب أن تأخذ هذا الاحتياط أيضًا:
- استخدم فقط الملء التلقائي الذي يتم تشغيله يدويًا على المواقع التي يمكنك الوثوق بها بشكل معقول. على سبيل المثال ، يجب أن تمتلك Apple الموارد للحماية من عناصر HTML المخترقة. (إذا فشلوا في حماية المستخدمين من هذا النوع من الاستغلال ، فسيواجه الجميع مشكلة أكبر بكثير).
لسوء الحظ ، لا يبدو أن مستخدمي Bitwarden قادرين على تجاوز مشكلة الملء التلقائي هذه عند نسخ ولصق معلومات تسجيل الدخول من مدير كلمات المرور في نموذج. إذا تم اختراق نموذج مستضاف خارجيًا ، فسيتم اختراقه. لذلك بغض النظر عن كيفية إدخال تفاصيل تسجيل الدخول الخاصة بك ، فلن تعرف ما إذا كان نموذجًا مستضافًا داخليًا أو خارجيًا – وهذه هي المشكلة.
أما بالنسبة للمواقع الرسمية التي تم اختراقها ، فلا شيء يمكن أن يحمي من هذا الموقف. لهذا السبب تعتبر كلمات المرور العشوائية لكل موقع وخدمة وتطبيق في غاية الأهمية – فهي تحافظ على قصر الضرر على ذلك المكان الواحد. وسواء أعجبك ذلك أم لا ، فإن أفضل طريقة لتتبع عشرات (إن لم يكن المئات) من بيانات الاعتماد هي مدير كلمات المرور. اختر (واستخدم) واحدًا بحكمة ، ويجب أن تتجنب معظم المشاكل.