Microsoft bude bojovat proti podvodům s automatickým vyplňováním Chromu tím, že přidá další tření

Teoreticky jste jediný, kdo se může přihlásit do svého zařízení a získat přístup k podrobnostem automatického vyplňování. V praxi tomu tak vždy není.

Uživatelé, kteří mají na paměti, že jejich účty přistupují k jejich účtům, se někdy odhlásí z funkce automatického vyplňování, ale její absence je nepochybně zaznamenána, když si musíte pamatovat četná hesla.

Inženýři Microsoftu se nyní zabývali obavami vyjádřenými uživateli v příspěvku na GitHubu:

Uživatelé, kteří chtějí rychle sdílet svá zařízení s rodinou a přáteli, vyjádřili obavy z přístupu k jejich účtům bez jejich svolení kvůli chování automatického vyplňování v prohlížeči. Vezměme si například uživatele, UživatelA, který má jejich pověření pro social.example uloženy v prohlížeči pro snadné přihlášení. I když se uživatel A odhlásí z jejich social.example před předáním zařízení Uživateli B (přítel nebo člen rodiny) k vypůjčení, automatické vyplňování stále automaticky vloží uložené přihlašovací údaje UživateleA do přihlašovacího formuláře, pokud UživatelB přejde na social.example domovská stránka. To umožňuje UživateliB přihlásit se k účtu UživateleA jediným kliknutím. Navíc může UserB triviálně odhalit prostý text vloženého hesla.

Myšlenka řešení hlavního hesla se vrací zpět více než 10 letMicrosoft však tento nápad nedotáhl do konce, protože si nebyli jistí, „zda funkce hlavního hesla, která není podporována šifrováním na základě pověření nebo úplným šifrováním úložiště pověření, láká uživatele k falešnému pocitu bezpečí, protože místní útočníci jsou obecně mimo model hrozby prohlížeče. "

Rychle vpřed do roku 2020, Microsoft nyní navržené řešení, které tyto obavy řeší. „Na základě uživatelského průzkumu/zpětné vazby“ společnost navrhuje, že řešením je „ve výchozím nastavení vypnutý hák pro opětovné ověřování OS v cestě s automatickým vyplňováním kódu Chromium“.

Taková opětovná autentizace by mohla zahrnovat opětovné zadání hesla na úrovni operačního systému, ale může také zahrnovat biometrická řešení s nižším třením na zařízeních a operačních systémech, které je podporují. Zda, a pokud ano, jak se uživatelští agenti rozhodnou vytvořit uživatelské rozhraní na tomto háku opětovné autentizace, aby zajistili, že jejich uživatelé budou jasně rozumět modelu hrozby a jeho omezením, je mimo rozsah tohoto vysvětlení.

Pokud se uživatel přihlásí k opětovnému ověřování, Microsoft chce, aby měl uživatel co největší kontrolu nad svým UX. Zde je návrh na GitHubu:

Tento vysvětlující článek navrhuje přidání ve výchozím nastavení vypnutého háčku pro opětovnou autentizaci OS do cesty kódu automatického vyplňování Chromium. Tím se znovu použije stávající logika opětovného ověření operačního systému používaná ve správci hesel prohlížeče Chromium při náhledu nebo exportu uložených hesel a přidá se nastavení obsahu pro konfiguraci, jak dlouho by mělo úspěšné opětovné ověření zůstat platné. Ve výchozím nastavení bude toto nastavení obsahu nastaveno tak, aby nikdy nevyžadovalo ověření, což znamená, že i když je povolen příznak sestavení, který řídí tuto funkci, hák pro opětovné ověření nebude funkční, dokud uživatelský agent neupraví výchozí hodnotu (s největší pravděpodobností odhalením UX pro to uživatelům).

Povolením tohoto háčku pro opětovnou autentizaci a změnou jeho vypnutí ve výchozím nastavení obsahu také povolíte stejné chování řízené pomocí Příznak funkce pro výběr funkce Chromium fill-on-account-select. Toto rozhodnutí bylo učiněno s cílem zajistit, aby uživatelé nebyli vyzváni k ověření, dokud neuvedou, že chtějí získat přístup ke svým uloženým přihlašovacím údajům.

Scénář sdíleného zařízení samozřejmě není jediný možný; ale Microsoft řekl, že „pokládá základy pro budoucí vylepšení“.

 Jsme otevřeni prozkoumat další investice do tohoto prostoru s dalšími implementátory, abychom uživatelům přinesli další hodnotu.

Chrome i Firefox již přijaly ověřování Windows Hello k autorizaci zobrazení uložených hesel v Nastavení. Můžeme předpokládat, že spíše než abychom si pamatovali další heslo, Microsoft pravděpodobně zamýšlí umožnit uživatelům používat biometrické ověřování Windows Hello k autorizaci automatického vyplňování hesel pro ty, kteří se zajímají o sdílená zařízení.

Zdroj: Windows nejnovější