Microsoft для боротьби з шахрайством із автозаповненням Chrome, додавши більше тертя

Значок часу читання 4 хв. читати

Піктограма календаря Опубліковано Березня 29, 2020

опубліковано на Березня 29, 2020

Читачі допомагають підтримувати MSpoweruser. Ми можемо отримати комісію, якщо ви купуєте через наші посилання.

Теоретично ви єдиний, хто може увійти на свій пристрій і отримати доступ до даних автозаповнення. На практиці це не завжди так.

Користувачі, які пам’ятають про те, що друзі мають доступ до їхніх облікових записів, іноді відмовляються від функції автозаповнення, але її відсутність, безсумнівно, помічається, коли потрібно запам’ятати численні паролі.

Тепер інженери Microsoft розглянули проблеми, висловлені користувачами в публікації на GitHub:

Користувачі, які хочуть швидко поділитися своїми пристроями з родиною та друзями, висловили занепокоєння з приводу доступу до їхніх облікових записів без їхнього дозволу через роботу автозаповнення у браузері. Наприклад, розглянемо користувача UserA, який має свої облікові дані social.example збережено в браузері для зручності входу. Навіть якщо UserA вийде з облікового запису social.example перед тим, як передати свій пристрій UserB (другу або члену сім’ї) для позики, автозаповнення все одно автоматично введе збережені облікові дані UserA у форму входу, якщо UserB перейде до social.example домашня сторінка. Це дозволяє UserB ввійти в обліковий запис UserA одним кліком. Крім того, UserB може тривіально розкрити відкритий текст введеного пароля.

Ідея рішення для головного пароля сягає корінням протягом 10 роківпроте, Microsoft не реалізувала цю ідею, оскільки не була впевнена, «чи функція головного пароля, яка не підтримується шифруванням облікових даних або повним шифруванням облікових даних, заманює користувачів у хибне відчуття безпеки, оскільки локальні зловмисники, як правило, знаходяться за межами модель загроз браузера».

Майкрософт зараз перенесеться до 2020 року запропонований рішення, яке вирішує ці проблеми. «На основі досліджень/відгуків користувачів», компанія пропонує «вимкнути за замовчуванням гачок повторної аутентифікації ОС у шляху автозаповнення коду Chromium».

Така повторна аутентифікація може включати повторне введення пароля на рівні ОС, але також може охоплювати менші тертя, біометричні рішення на пристроях та операційних системах, які їх підтримують. Чи вирішують користувацькі агенти будувати інтерфейс користувача навколо цього гачка повторної аутентифікації, і якщо так, то як, щоб гарантувати, що їхні користувачі можуть чітко зрозуміти модель загрози та її обмеження, виходить за рамки цього пояснення.

Якщо користувач вибереться за допомогою гачка повторної аутентифікації, Microsoft хоче, щоб користувач мав якомога більше контролю над своїм UX. Ось пропозиція на GitHub:

Цей пояснювач пропонує додати вимкнений за замовчуванням гачок повторної аутентифікації ОС у шлях автозаповнення Chromium. Це повторно використовуватиме існуючу логіку повторної аутентифікації ОС, що використовується в менеджері паролів Chromium під час попереднього перегляду чи експорту збережених паролів, і додасть налаштування вмісту, щоб налаштувати, як довго має залишатися чинною успішна повторна аутентифікація. За замовчуванням цей параметр вмісту буде налаштовано так, щоб ніколи не вимагати автентифікації, що означає, що навіть якщо прапорець збірки, який керує цією функцією, увімкнено, гачок повторної аутентифікації не працюватиме, доки користувацький агент не налаштує значення за замовчуванням (найімовірніше, відкриваючи UX для це для користувачів).

Увімкнення цього гачка повторної аутентифікації та його вимкнення за замовчуванням дозволить таку ж поведінку, яку контролює Прапорець функції вибору функції заповнення облікового запису Chromium. Це рішення було прийнято, щоб гарантувати, що користувачам не буде запропоновано автентифікацію, поки вони не вкажуть, що хочуть отримати доступ до своїх збережених облікових даних.

Звичайно, сценарій використання спільного пристрою не є єдиним можливим; але Microsoft заявила, що це «закладає основу для майбутніх покращень».

Ми відкриті для вивчення подальших інвестицій у цей простір разом з іншими реалізаторами, щоб принести додаткову цінність користувачам.

І Chrome, і Firefox вже прийняли автентифікацію Windows Hello, щоб дозволити відображення збережених паролів у налаштуваннях. Ми можемо припустити, що замість того, щоб просити нас запам’ятати інший пароль, Microsoft, ймовірно, має намір дозволити користувачам використовувати біометричну автентифікацію Windows Hello для авторизації автоматичного заповнення паролів для тих, хто стурбований спільними пристроями.

джерело: Windows останній

Детальніше про теми: хром, край, Майстер-пароль, Microsoft, гачок повторної автентифікації, windows, windows 10