Microsoft ต่อสู้กับการฉ้อโกงป้อนอัตโนมัติของ Chrome โดยเพิ่มแรงเสียดทาน

ตามทฤษฎีแล้ว คุณเป็นคนเดียวที่สามารถลงชื่อเข้าใช้อุปกรณ์ของคุณและเข้าถึงรายละเอียดการป้อนอัตโนมัติของคุณได้ ในทางปฏิบัติ อาจไม่เป็นเช่นนั้นเสมอไป

ผู้ใช้ที่นึกถึงเพื่อนที่เข้าถึงบัญชีของตนในบางครั้งอาจเลือกไม่รับคุณลักษณะป้อนอัตโนมัติ แต่การไม่มีคุณลักษณะนี้จะสังเกตเห็นได้ชัดเจนเมื่อคุณต้องจำรหัสผ่านจำนวนมาก

วิศวกรของ Microsoft ได้กล่าวถึงข้อกังวลที่แสดงโดยผู้ใช้ในโพสต์บน GitHub:

ผู้ใช้ที่ต้องการแชร์อุปกรณ์กับครอบครัวและเพื่อนอย่างรวดเร็วได้แสดงความกังวลเกี่ยวกับการเข้าถึงบัญชีโดยไม่ได้รับอนุญาตจากพฤติกรรมการป้อนข้อความอัตโนมัติในเบราว์เซอร์ ตัวอย่างเช่น พิจารณาผู้ใช้ UserA ที่มีข้อมูลประจำตัวสำหรับ social.example บันทึกไว้ในเบราว์เซอร์เพื่อความสะดวกในการเข้าสู่ระบบ แม้ว่า UserA จะลงชื่อออกจาก social.example บัญชีก่อนที่จะมอบอุปกรณ์ให้ UserB (เพื่อนหรือสมาชิกในครอบครัว) เพื่อยืม ป้อนอัตโนมัติจะยังคงใส่ข้อมูลประจำตัวที่บันทึกไว้ของ UserA ลงในแบบฟอร์มการเข้าสู่ระบบหาก UserB นำทางไปยัง social.example หน้าแรก สิ่งนี้ทำให้ UserB สามารถลงชื่อเข้าใช้บัญชีของ UserA ได้ด้วยคลิกเดียว นอกจากนี้ UserB สามารถ เปิดเผยเล็กน้อย ข้อความธรรมดาของรหัสผ่านที่ฉีด

แนวคิดในการแก้ปัญหารหัสผ่านหลักย้อนกลับไป กว่าปี 10อย่างไรก็ตาม Microsoft ไม่ได้ปฏิบัติตามแนวคิดนี้ เนื่องจากพวกเขาไม่แน่ใจว่า "คุณลักษณะรหัสผ่านหลักที่ไม่ได้รับการสนับสนุนโดยการเข้ารหัสที่เก็บข้อมูลรับรองแบบต่อหนึ่งหรือแบบสมบูรณ์จะหลอกล่อผู้ใช้ให้เข้าใจผิดเกี่ยวกับความปลอดภัย เนื่องจากผู้โจมตีในพื้นที่มักอยู่นอกระบบ โมเดลภัยคุกคามของเบราว์เซอร์".

กรอไปข้างหน้าอย่างรวดเร็วสู่ปี 2020 Microsoft มีตอนนี้ เสนอ โซลูชันที่จัดการกับข้อกังวลเหล่านี้ “จากการวิจัย/ข้อเสนอแนะของผู้ใช้” บริษัทแนะนำว่า “การปิดโดยค่าเริ่มต้น การเชื่อมต่อการตรวจสอบสิทธิ์ OS ในเส้นทางรหัสป้อนอัตโนมัติของ Chromium” เป็นวิธีแก้ปัญหา

การตรวจสอบสิทธิ์ซ้ำดังกล่าวอาจเกี่ยวข้องกับการป้อนรหัสผ่านระดับ OS อีกครั้ง แต่อาจรวมถึงการเสียดสีที่ต่ำกว่า โซลูชันไบโอเมตริกซ์บนอุปกรณ์และระบบปฏิบัติการที่รองรับรหัสผ่านเหล่านั้น ไม่ว่าและถ้าเป็นเช่นนั้น อย่างไร ตัวแทนผู้ใช้เลือกที่จะสร้าง UI รอบเบ็ดการตรวจสอบสิทธิ์ซ้ำเพื่อให้แน่ใจว่าผู้ใช้ของพวกเขาสามารถเข้าใจรูปแบบการคุกคามได้อย่างชัดเจนและข้อจำกัดนั้นอยู่นอกเหนือขอบเขตของผู้อธิบายนี้

หากผู้ใช้เลือกใช้ตะขอตรวจสอบสิทธิ์อีกครั้ง Microsoft ต้องการให้ผู้ใช้ควบคุม UX ของตนให้ได้มากที่สุด นี่คือข้อเสนอบน GitHub:

ตัวอธิบายนี้เสนอการเพิ่มการปิดโดยค่าเริ่มต้น ตะขอตรวจสอบสิทธิ์ของระบบปฏิบัติการอีกครั้งในเส้นทางรหัสป้อนอัตโนมัติของ Chromium การดำเนินการนี้จะนำตรรกะการตรวจสอบสิทธิ์ของระบบปฏิบัติการที่มีอยู่มาใช้ซ้ำซึ่งใช้ในตัวจัดการรหัสผ่านของ Chromium เมื่อดูตัวอย่างหรือส่งออกรหัสผ่านที่บันทึกไว้ และจะเพิ่มการตั้งค่าเนื้อหาเพื่อกำหนดระยะเวลาที่การตรวจสอบสิทธิ์ซ้ำที่ประสบความสำเร็จจะยังคงใช้ได้ โดยค่าเริ่มต้น การตั้งค่าเนื้อหานี้จะถูกตั้งค่าให้ไม่ต้องมีการพิสูจน์ตัวตน ซึ่งหมายความว่าแม้ว่าจะมีการเปิดใช้งานแฟล็กบิลด์ที่ควบคุมฟังก์ชันนี้ แต่ hook การตรวจสอบสิทธิ์ซ้ำจะไม่ทำงานจนกว่าตัวแทนผู้ใช้จะปรับค่าเริ่มต้น (เป็นไปได้มากโดยการเปิดเผย UX สำหรับ นี้ให้กับผู้ใช้)

การเปิดใช้งาน hook การตรวจสอบสิทธิ์ซ้ำนี้และการเปลี่ยนการตั้งค่าเนื้อหาเริ่มต้นจะเปิดใช้งานลักษณะการทำงานเดียวกันที่ควบคุมโดย แฟล็กคุณลักษณะการเติมโครเมียมในบัญชีที่เลือก. การตัดสินใจนี้ทำขึ้นเพื่อให้แน่ใจว่าผู้ใช้จะไม่ได้รับพร้อมท์สำหรับการตรวจสอบสิทธิ์จนกว่าพวกเขาจะระบุว่าต้องการเข้าถึงข้อมูลประจำตัวที่บันทึกไว้

แน่นอนว่าสถานการณ์ของอุปกรณ์ที่ใช้ร่วมกันไม่ได้เป็นเพียงสถานการณ์เดียวที่เป็นไปได้ แต่ไมโครซอฟต์กล่าวว่า "วางรากฐานสำหรับการปรับปรุงในอนาคต"

 เราเปิดให้สำรวจการลงทุนเพิ่มเติมในพื้นที่นี้ร่วมกับผู้ดำเนินการรายอื่นเพื่อเพิ่มมูลค่าให้กับผู้ใช้

ทั้ง Chrome และ Firefox ได้ใช้การรับรองความถูกต้องของ Windows Hello เพื่ออนุญาตให้แสดงรหัสผ่านที่บันทึกไว้ในการตั้งค่า เราสามารถสมมติแทนที่จะขอให้เราจำรหัสผ่านอื่น Microsoft มีแนวโน้มที่จะอนุญาตให้ผู้ใช้ใช้การรับรองความถูกต้องทางชีวภาพของ Windows Hello เพื่ออนุญาตการกรอกรหัสผ่านอัตโนมัติสำหรับผู้ที่กังวลเกี่ยวกับอุปกรณ์ที่ใช้ร่วมกัน

ที่มา: Windowsล่าสุด