Microsoft bekæmper svindel med autofyld i Chrome ved at tilføje mere friktion
4 min. Læs
Udgivet den
Del denne artikel
Forbedre denne vejledning
Læs vores oplysningsside for at finde ud af, hvordan du kan hjælpe MSPoweruser med at opretholde redaktionen Læs mere
I teorien er du den eneste, der kan logge ind på din enhed og få adgang til dine autofyld-oplysninger. I praksis er det ikke altid tilfældet.
Brugere, der er opmærksomme på venner, der får adgang til deres konti, fravælger nogle gange autofyld-funktionen, men dens fravær bemærkes uden tvivl, når du skal huske adskillige adgangskoder.
Microsofts ingeniører har nu adresseret bekymringer udtrykt af brugere i et indlæg på GitHub:
Brugere, der hurtigt vil dele deres enheder med familie og venner, har udtrykt bekymring over, at deres konti bliver tilgået uden deres tilladelse på grund af opførsel af autofyld i browseren. Overvej for eksempel en bruger, UserA, som har deres legitimationsoplysninger til
social.examplegemt i browseren for at lette login. Også selvom UserA logger ud af deressocial.examplekonto, før de afleverer deres enhed til UserB (en ven eller et familiemedlem) for at låne, vil autofyld stadig automatisk injicere UserAs gemte legitimationsoplysninger i login-formularen, hvis UserB navigerer tilsocial.examplehjemmeside. Dette giver BrugerB mulighed for at logge ind på BrugerAs konto med et enkelt klik. Derudover kan UserB trivielt afsløre klarteksten af den indsatte adgangskode.
Ideen med en masteradgangskodeløsning går tilbage over 10 årMicrosoft fulgte dog ikke op med ideen, da de var usikre på, "om en hovedadgangskodefunktion, der ikke er understøttet af enten per-credential eller komplet credential store-kryptering lokker brugerne til en falsk følelse af sikkerhed, fordi lokale angribere generelt er uden for browsertrusselsmodel".
Spol frem til 2020, har Microsoft nu foreslog en løsning, der imødekommer disse bekymringer. "Baseret på brugerresearch/feedback" foreslår virksomheden, at "en off som standard OS-genautentificeringshook i Chromium autofill-kodestien" er løsningen.
En sådan genautentificering kan involvere genindtastning af en adgangskode på OS-niveau, men kan også omfatte lavere friktion, biometriske løsninger på enheder og operativsystemer, der understøtter dem. Hvorvidt, og i givet fald hvordan, brugeragenter vælger at bygge brugergrænsefladen omkring denne genautentificeringshook for at sikre, at deres brugere klart kan forstå trusselsmodellen og dens begrænsninger, ligger uden for rammerne af denne forklaring.
Skulle brugeren tilmelde sig genautentificeringshooken, ønsker Microsoft, at brugeren skal have så meget kontrol over deres UX som muligt. Her er forslaget på GitHub:
Denne forklaring foreslår tilføjelsen af en off som standard OS-genautentificeringshook i Chromium autofill-kodestien. Dette vil genbruge den eksisterende OS-genautentificeringslogik, der bruges i Chromiums adgangskodehåndtering, når der forhåndsvises eller eksporteres gemte adgangskoder, og tilføjer en indholdsindstilling for at konfigurere, hvor længe en vellykket gengodkendelse skal forblive gyldig. Som standard vil denne indholdsindstilling være indstillet til aldrig at kræve godkendelse, hvilket betyder, at selvom build-flaget, der styrer denne funktionalitet, er aktiveret, vil genautentificeringshook ikke være funktionel, før brugeragenten justerer standardværdien (mest sandsynligt ved at eksponere UX for dette til brugerne).
Aktivering af denne genautentificeringshook og ændring af den fra som standardindholdsindstilling vil også aktivere den samme adfærd, som kontrolleres af Chromium fill-on-account-select funktionsflag. Denne beslutning blev truffet for at sikre, at brugere ikke bliver bedt om godkendelse, før de angiver, at de vil have adgang til deres gemte legitimationsoplysninger.
Naturligvis er scenariet med delt enhed ikke det eneste mulige; men Microsoft sagde, at det "lægger grundlaget for fremtidige forbedringer."
Vi er åbne for at udforske yderligere investeringer i dette område sammen med andre implementører for at give brugerne ekstra værdi.
Både Chrome og Firefox har allerede vedtaget Windows Hello-godkendelse for at godkende visningen af gemte adgangskoder i Indstillinger. Vi kan antage, at i stedet for at bede os om at huske en anden adgangskode, har Microsoft sandsynligvis til hensigt at give brugere mulighed for at bruge Windows Hello biometrisk godkendelse til at godkende automatisk udfyldning af adgangskoder for dem, der er bekymrede over delte enheder.
Kilde: Seneste Windows
