Η Microsoft θα καταπολεμήσει την απάτη αυτόματης συμπλήρωσης του Chrome προσθέτοντας περισσότερη τριβή

Εικονίδιο ώρας ανάγνωσης 4 λεπτό. ανάγνωση

Εικονίδιο ημερολογίου Δημοσιεύθηκε στις Μαρτίου 29, 2020

Δημοσιεύθηκε στις Μαρτίου 29, 2020

Οι αναγνώστες βοηθούν στην υποστήριξη του MSpoweruser. Ενδέχεται να λάβουμε προμήθεια εάν αγοράσετε μέσω των συνδέσμων μας.

Θεωρητικά, είστε ο μόνος που μπορείτε να συνδεθείτε στη συσκευή σας και να αποκτήσετε πρόσβαση στα στοιχεία αυτόματης συμπλήρωσης. Στην πράξη, αυτό δεν συμβαίνει πάντα.

Οι χρήστες που προσέχουν τους φίλους που έχουν πρόσβαση στους λογαριασμούς τους μερικές φορές εξαιρούνται από τη λειτουργία αυτόματης συμπλήρωσης, αλλά η απουσία της γίνεται αναμφίβολα αντιληπτή όταν πρέπει να θυμάστε πολλούς κωδικούς πρόσβασης.

Οι μηχανικοί της Microsoft έχουν πλέον αντιμετωπίσει τις ανησυχίες που έχουν εκφράσει οι χρήστες σε μια ανάρτηση στο GitHub:

Οι χρήστες που θέλουν να μοιράζονται γρήγορα τις συσκευές τους με την οικογένεια και τους φίλους τους έχουν εκφράσει ανησυχία για την πρόσβαση στους λογαριασμούς τους χωρίς την άδειά τους λόγω της συμπεριφοράς της αυτόματης συμπλήρωσης στο πρόγραμμα περιήγησης. Για παράδειγμα, σκεφτείτε έναν χρήστη, το UserA, ο οποίος έχει τα διαπιστευτήριά του για social.example αποθηκεύεται στο πρόγραμμα περιήγησης για ευκολία σύνδεσης. Ακόμα κι αν ο UserA αποσυνδεθεί από το δικό τους social.example λογαριασμό προτού παραδώσει τη συσκευή τους στον χρήστη Β (έναν φίλο ή μέλος της οικογένειας) για δανεισμό, η αυτόματη συμπλήρωση θα εξακολουθεί να εισάγει αυτόματα τα αποθηκευμένα διαπιστευτήρια του Χρήστη στη φόρμα σύνδεσης εάν ο χρήστης Β μεταβεί στο social.example αρχική σελίδα. Αυτό επιτρέπει στο UserB να συνδεθεί στο λογαριασμό του UserA με ένα μόνο κλικ. Επιπλέον, ο χρήστης B μπορεί αποκαλύπτουν επιπόλαια το απλό κείμενο του κωδικού πρόσβασης που εισήχθη.

Η ιδέα μιας λύσης κύριου κωδικού πρόσβασης πηγαίνει πίσω πάνω από 10 χρόνια, ωστόσο, η Microsoft δεν ακολούθησε την ιδέα καθώς δεν ήταν βέβαιοι «αν μια δυνατότητα κύριου κωδικού πρόσβασης που δεν υποστηρίζεται από κρυπτογράφηση καταστήματος ανά διαπιστευτήριο ή πλήρη διαπιστευτήρια παρασύρει τους χρήστες σε μια ψευδή αίσθηση ασφάλειας, επειδή οι τοπικοί εισβολείς είναι γενικά εκτός του μοντέλο απειλής προγράμματος περιήγησης. "

Γρήγορα μπροστά στο 2020, η Microsoft έχει τώρα προτείνεται μια λύση που αντιμετωπίζει αυτές τις ανησυχίες. «Βάσει της έρευνας/σχέσεων των χρηστών», η εταιρεία προτείνει «ένα απενεργοποιημένο, από προεπιλογή, άγκιστρο ελέγχου ταυτότητας του λειτουργικού συστήματος στη διαδρομή κώδικα αυτόματης συμπλήρωσης Chromium» είναι η λύση.

Αυτός ο εκ νέου έλεγχος ταυτότητας θα μπορούσε να περιλαμβάνει την εκ νέου εισαγωγή ενός κωδικού πρόσβασης σε επίπεδο λειτουργικού συστήματος, αλλά μπορεί επίσης να περιλαμβάνει βιομετρικές λύσεις χαμηλότερης τριβής σε συσκευές και λειτουργικά συστήματα που τις υποστηρίζουν. Το αν, και αν ναι, πώς, οι πράκτορες χρήστη επιλέγουν να δημιουργήσουν διεπαφή χρήστη γύρω από αυτό το άγκιστρο ελέγχου ταυτότητας για να διασφαλίσουν ότι οι χρήστες τους μπορούν να κατανοήσουν ξεκάθαρα το μοντέλο απειλής και τους περιορισμούς του δεν εμπίπτει στο πεδίο εφαρμογής αυτής της επεξήγησης.

Σε περίπτωση που ο χρήστης επιλέξει το άγκιστρο ελέγχου ταυτότητας, η Microsoft θέλει ο χρήστης να έχει όσο το δυνατόν περισσότερο έλεγχο στο UX του. Ακολουθεί η πρόταση στο GitHub:

Αυτή η επεξήγηση προτείνει την προσθήκη ενός απενεργοποιημένου, από προεπιλογή, άγκιστρου ελέγχου ταυτότητας λειτουργικού συστήματος στη διαδρομή κώδικα αυτόματης συμπλήρωσης Chromium. Αυτό θα επαναχρησιμοποιήσει την υπάρχουσα λογική ελέγχου ταυτότητας του λειτουργικού συστήματος που χρησιμοποιείται στη διαχείριση κωδικών πρόσβασης του Chromium κατά την προεπισκόπηση ή την εξαγωγή αποθηκευμένων κωδικών πρόσβασης και θα προσθέσει μια ρύθμιση περιεχομένου για να διαμορφώσει το χρονικό διάστημα που θα παραμείνει έγκυρος ένας επιτυχημένος επαναληπτικός έλεγχος ταυτότητας. Από προεπιλογή, αυτή η ρύθμιση περιεχομένου θα ρυθμιστεί ώστε να μην απαιτεί ποτέ έλεγχο ταυτότητας, πράγμα που σημαίνει ότι ακόμη και αν είναι ενεργοποιημένη η σημαία έκδοσης που ελέγχει αυτήν τη λειτουργία, το άγκιστρο ελέγχου ταυτότητας δεν θα είναι λειτουργικό έως ότου ο παράγοντας χρήστη προσαρμόσει την προεπιλεγμένη τιμή (πιθανότατα εκθέτοντας το UX για αυτό στους χρήστες).

Η ενεργοποίηση αυτού του άγκιστρου ελέγχου ταυτότητας και η αλλαγή του από την προεπιλεγμένη ρύθμιση περιεχομένου θα ενεργοποιήσει επίσης την ίδια συμπεριφορά που ελέγχεται από το Σημαία δυνατότητας επιλογής συμπλήρωσης σε λογαριασμό Chromium. Αυτή η απόφαση ελήφθη για να διασφαλιστεί ότι δεν ζητείται από τους χρήστες έλεγχος ταυτότητας μέχρι να δηλώσουν ότι θέλουν να αποκτήσουν πρόσβαση στα αποθηκευμένα διαπιστευτήριά τους.

Φυσικά, το σενάριο της κοινόχρηστης συσκευής δεν είναι το μόνο δυνατό. αλλά η Microsoft είπε ότι «θέτει τα θεμέλια για μελλοντικές βελτιώσεις».

Είμαστε ανοιχτοί στη διερεύνηση περαιτέρω επενδύσεων σε αυτόν τον χώρο με άλλους φορείς υλοποίησης για να προσφέρουμε πρόσθετη αξία στους χρήστες.

Τόσο ο Chrome όσο και ο Firefox έχουν ήδη υιοθετήσει τον έλεγχο ταυτότητας Windows Hello για να εξουσιοδοτήσουν την εμφάνιση των αποθηκευμένων κωδικών πρόσβασης στις Ρυθμίσεις. Μπορούμε να υποθέσουμε ότι αντί να μας ζητά να θυμόμαστε έναν άλλο κωδικό πρόσβασης, η Microsoft πιθανότατα σκοπεύει να επιτρέψει στους χρήστες να χρησιμοποιούν βιομετρικό έλεγχο ταυτότητας Windows Hello για να εξουσιοδοτήσουν την αυτόματη συμπλήρωση κωδικών πρόσβασης για όσους ανησυχούν για κοινόχρηστες συσκευές.

πηγή: windowslatest

Περισσότερα για τα θέματα: χρώμιο, άκρη, κύριο κωδικό πρόσβασης, microsoft, άγκιστρο επανελέγχου ταυτότητας, παράθυρα, παράθυρα 10