Các nhà quảng cáo đã tìm ra một cách mới để theo dõi người dùng. Theo Freedom to Tinker, một vài mạng quảng cáo đang lạm dụng các script theo dõi để lấy địa chỉ email mà trình quản lý mật khẩu tự động điền vào các trang web.
Nhưng tình trạng này thậm chí còn tệ hơn khi họ có thể sử dụng công nghệ này để lấy mật khẩu của bạn, nếu muốn. Điều này ảnh hưởng đến tất cả người dùng trình quản lý mật khẩu như trình quản lý mật khẩu được tích hợp sẵn trong Chrome, Firefox hoặc Edge hoặc extension của trình duyệt như LastPass. Do đó, người dùng nên tắt tính năng autofill để tránh sự cố này xảy ra.
Tính năng autofill rò rỉ thông tin của bạn như thế nào?
Khi lưu tên người dùng và mật khẩu của mình trên trang web, trình quản lý mật khẩu sẽ nhớ những thông tin này và sau đó nó sẽ tự động điền chúng vào các hộp tên người dùng và mật khẩu trên trang web đó. Trình quản lý mật khẩu sẽ khiến việc đăng nhập trở nên nhanh hơn vì bạn chỉ cần nhấp vào "Login".
Nhưng một số script quảng cáo của bên thứ ba được hầu hết các trang web sử dụng đang được dùng để theo dõi người dùng. Chúng chạy ẩn, tạo các hộp đăng nhập và mật khẩu giả mạo mà người dùng không thể nhìn thấy và thu thập thông tin xác thực mà trình quản lý mật khẩu tự động điền vào chúng.
Bạn có thể thấy vấn đề của mình bằng cách truy cập vào trang web này. Điền địa chỉ email và mật khẩu giả mạo và bạn sẽ được nhắc lưu nó vào trình quản lý mật khẩu của trình duyệt. Sau đó nó sẽ được tự động điền vào trong nền, với script ghi lại địa chỉ email và mật khẩu. Trang web này không hiển thị bất kỳ vấn đề nào nếu sử dụng extension LastPass.
Sự cần thiết của trình quản lý mật khẩu
Vấn đề này chứng tỏ tầm quan trọng của việc sử dụng mật khẩu duy nhất trên một trang web. Theo Freedom to Tinker, đây không chỉ là cuộc tấn công dựa trên lý thuyết, các nhà quảng cáo thực sự đã sử dụng nó trên một triệu trang web hàng đầu hiện nay để lấy tên người dùng và địa chỉ email, nhưng không có gì ngăn cản họ không lấy mật khẩu của bạn nếu muốn.
Nếu một nhà quảng cáo lấy được mật khẩu của bạn trên trang web, thì họ có thể dùng thông tin đó để đăng nhập vào trang web này. Điều này thật tồi tệ nhưng chưa phải là điều tồi tệ nhất. Nếu bạn sử dụng cùng một mật khẩu cho các tài khoản khác như email, thì người đó có thể truy cập tài khoản email của bạn và sử dụng nó để truy cập vào các tài khoản khác. Đó mới là điều xấu nhất có thể xảy ra. Đây là lý do tại sao bạn vẫn nên sử dụng trình quản lý mật khẩu và dùng các mật khẩu khác nhau cho các tài khoản khác nhau.
Tự bảo vệ bằng cách vô hiệu hoá tính năng autofill
Tuy nhiên, người dùng vẫn có thể giảm nguy cơ từ những script này bằng cách tắt tính năng autofill trong trình quản lý mật khẩu. Ví dụ: nếu sử dụng extension LastPass (hiện không bị ảnh hưởng bởi các script này, nhưng về mặt lý thuyết nó có thể), tính năng autofill sẽ điền vào các trường đăng nhập bằng các thông tin đăng nhập của bạn để chỉ cần nhấp vào "Login". Nếu vô hiệu hóa tính năng autofill, bạn sẽ phải nhấp vào biểu tượng LastPass trong trường mật khẩu và nhấp vào tên người dùng để điền thông tin đã lưu. Thao tác này sẽ bảo vệ thông tin của bạn không bị đánh cắp.
Bạn cũng có thể chọn chỉ sao chép và dán tên người dùng và mật khẩu từ trình quản lý mật khẩu. Thao tác này sẽ an toàn hơn nhưng không thuận tiện bằng.
Thật không may, hầu hết trình quản lý mật khẩu trình duyệt không cho phép người dùng vô hiệu hóa tính năng autofill. Không có cách nào để vô hiệu tính năng autofill nếu đang sử dụng trình quản lý mật khẩu tích hợp trong Google Chrome hoặc Microsoft Edge. Chrome có tuỳ chọn để vô hiệu hóa tính năng autofill nhưng chỉ vô hiệu hóa tự động điền dữ liệu như địa chỉ và số điện thoại mà không phải là mật khẩu. Có một tùy chọn để vô hiệu hóa tự động điền mật khẩu trong trình quản lý mật khẩu của Mozilla Firefox, nhưng nó ẩn trong about: config.
Nếu đang sử dụng trình quản lý mật khẩu tích hợp trong Chrome hoặc Edge, bạn nên chuyển sang trình quản lý mật khẩu bên thứ ba để có thể kiểm soát được nhiều hơn, như LastPass hoặc 1Password. Trình quản lý 1Password không bị ảnh hưởng bởi vấn đề này bởi vì nó không có tính năng autofill.
Trong LastPass, bạn có thể vô hiệu hoá tính năng tự động điền bằng cách nhấp vào nút extension LastPass trên thanh công cụ trình duyệt và nhấp vào "Preferences", bỏ chọn tùy chọn "Automatically Fill Login Information" trong phần General và sau đó nhấp vào "Save" để lưu các thay đổi.
Nếu muốn tiếp tục sử dụng trình quản lý mật khẩu của Firefox, gõ "about: config" vào thanh địa chỉ của Firefox và nhấn Enter. Bạn sẽ thấy một màn hình cảnh báo thông báo rằng việc thay đổi các cài đặt khác nhau ở đây có thể gây ra sự cố. Đừng lo lắng chỉ cần làm theo đúng hướng dẫn dưới đây bạn sẽ không gặp bất kỳ sự cố nào xảy ra, nhấp vào "I accept the risk!" để tiếp tục.
Nhập "autofillForms" vào hộp tìm kiếm và nhấp đúp vào tuỳ chọn "signon.autofillForms" chuyển nó thành "false". Firefox sẽ không tự động điền tên người dùng và mật khẩu mà không có sự cho phép của bạn.
Nếu đang sử dụng trình quản lý mật khẩu khác, bạn nên mở tùy chọn và vô hiệu hóa tùy chọn "autofill" hoặc "automatically fill" để đảm bảo rằng trình quản lý mật khẩu sẽ không làm rò rỉ thông tin cá nhân của bạn nữa.
Các nhà phát triển trình quản lý mật khẩu trình duyệt và các tiện ích trình quản lý mật khẩu cần phải cân nhắc lại cách quản lý mật khẩu để giúp người dùng cảm thấy an toàn hơn. Tuy nhiên bây giờ bạn có thể tắt tính năng autofill để giảm bớt phần nào nguy cơ bị đánh cắp mật khẩu.
Xem thêm: