Microsoft bude bojovať proti podvodom s automatickým dopĺňaním prehliadača Chrome pridaním väčšieho trenia

Teoreticky ste jediný, kto sa môže prihlásiť do svojho zariadenia a získať prístup k podrobnostiam automatického dopĺňania. V praxi to tak nie je vždy.

Používatelia, ktorí majú na pamäti priateľov, ktorí pristupujú k ich účtom, sa niekedy odhlásia z funkcie automatického dopĺňania, ale jej absenciu si nepochybne všimnete, keď si musíte pamätať množstvo hesiel.

Inžinieri spoločnosti Microsoft teraz riešili obavy vyjadrené používateľmi v príspevku na GitHub:

Používatelia, ktorí chcú rýchlo zdieľať svoje zariadenia s rodinou a priateľmi, vyjadrili obavy z prístupu k ich účtom bez ich povolenia v dôsledku správania automatického dopĺňania v prehliadači. Vezmime si napríklad používateľa UserA, ktorý má svoje poverenia social.example uložené v prehliadači pre jednoduché prihlásenie. Aj keď sa PoužívateľA odhlási z ich social.example účtu pred odovzdaním svojho zariadenia Používateľovi B (priateľovi alebo členovi rodiny) na požičanie, automatické dopĺňanie stále automaticky vloží uložené poverenia používateľa A do prihlasovacieho formulára, ak Používateľ B prejde na social.example domovskej stránke. To umožňuje používateľovi B prihlásiť sa do účtu používateľa A jediným kliknutím. Okrem toho môže UserB triviálne odhaliť čistý text vloženého hesla.

Myšlienka riešenia hlavného hesla sa vracia späť nad 10 rokovMicrosoft však túto myšlienku nerealizoval, pretože si nebol istý, „či funkcia hlavného hesla, ktorá nie je podporovaná šifrovaním na úrovni poverení alebo úplným šifrovaním úložiska poverení, láka používateľov k falošnému pocitu bezpečia, pretože miestni útočníci sú vo všeobecnosti mimo model hrozby prehliadača. "

Rýchly posun vpred do roku 2020 má teraz Microsoft navrhovanej riešenie, ktoré tieto obavy rieši. „Na základe používateľského prieskumu/spätnej väzby“ spoločnosť navrhuje, že riešením je „predvolene vypnutý hák na opätovné overenie OS v ceste s automatickým dopĺňaním kódu Chromium“.

Takáto opätovná autentifikácia môže zahŕňať opätovné zadanie hesla na úrovni operačného systému, ale môže zahŕňať aj nižšie trenie, biometrické riešenia na zariadeniach a operačných systémoch, ktoré ich podporujú. Či, a ak áno, ako sa používateľskí agenti rozhodnú vytvoriť používateľské rozhranie okolo tohto háku opätovnej autentifikácie, aby sa zaistilo, že ich používatelia môžu jasne porozumieť modelu hrozby a jeho obmedzeniam, presahuje rozsah tohto vysvetlenia.

Ak by sa používateľ prihlásil do háku opätovnej autentifikácie, Microsoft chce, aby mal používateľ čo najväčšiu kontrolu nad svojím UX. Tu je návrh na GitHub:

Tento vysvetľovač navrhuje pridanie predvolene vypnutého háku na opätovné overenie operačného systému do cesty kódu automatického dopĺňania prehliadača Chromium. Pri prezeraní alebo exportovaní uložených hesiel sa znova použije existujúca logika opätovnej autentifikácie operačného systému používaná v správcovi hesiel prehliadača Chromium a pridá sa nastavenie obsahu na konfiguráciu, ako dlho má úspešná opätovná autentifikácia zostať v platnosti. V predvolenom nastavení bude toto nastavenie obsahu nastavené tak, aby nikdy nevyžadovalo overenie, čo znamená, že aj keď je povolený príznak zostavy, ktorý riadi túto funkciu, hák na opätovné overenie nebude funkčný, kým používateľský agent neupraví predvolenú hodnotu (s najväčšou pravdepodobnosťou odhalením UX pre toto pre používateľov).

Povolenie tohto háku na opätovnú autentifikáciu a zmena jeho vypnutia v predvolenom nastavení obsahu tiež povolí rovnaké správanie ovládané serverom Príznak funkcie Chromium fill-on-account-select. Toto rozhodnutie bolo prijaté, aby sa zabezpečilo, že používatelia nebudú vyzvaní na overenie, kým neuvedú, že chcú získať prístup k svojim uloženým povereniam.

Samozrejme, scenár zdieľaného zariadenia nie je jediný možný; Microsoft však povedal, že „pokladá základ pre budúce vylepšenia“.

 Sme otvorení skúmaniu ďalších investícií do tohto priestoru s ďalšími implementátormi, aby sme používateľom priniesli ďalšiu hodnotu.

Chrome aj Firefox už prijali overenie Windows Hello na autorizáciu zobrazenia uložených hesiel v Nastaveniach. Môžeme predpokladať, že namiesto toho, aby sme si od nás vyžadovali zapamätanie si iného hesla, spoločnosť Microsoft pravdepodobne zamýšľa povoliť používateľom používať biometrické overenie Windows Hello na autorizáciu automatického vypĺňania hesiel pre tých, ktorí sa obávajú zdieľaných zariadení.

zdroj: Najnovšie Windows