密码管理器旨在保护您的密码和敏感信息,但它们也可能被利用,使攻击者能够访问这些信息。一种新发现的基于 DOM 的点击劫持方法可以欺骗某些密码管理器,使其将凭证自动填充到恶意表单中。下文将深入探讨这种攻击的运作方式以及如何增强防御。
了解密码管理器的漏洞
最近的发现凸显了一种文档对象模型 (DOM) 漏洞,该漏洞可促成一种点击劫持变体,使恶意攻击者能够秘密触发密码管理器的自动填充功能。这可能导致敏感数据(例如密码、TOTP/2FA 代码和信用卡信息)被盗。此类攻击的机制如下:
- 用户进入由攻击者控制的网页,该网页显示看似无害的可点击元素,例如,cookie 同意横幅或弹出关闭按钮。
- 利用 DOM 可见性技巧,攻击者通过设置将不可见的表单放置在合法的可点击元素上
opacity:0。 - 点击后,用户的密码管理器会自动使用保存的凭据填充隐藏表单,从而允许网络犯罪分子捕获它们。
整个操作悄无声息地进行,用户通常意识不到自己的信息已被泄露。最近的一项研究评估了11款领先的密码管理器,发现大多数具有自动填充功能的密码管理器都容易受到攻击。针对这些发现,一些密码管理器发布了更新,添加了自动填充的确认提示,但许多密码管理器仍然存在风险。
然而,这些补丁大多只是权宜之计,无法解决浏览器网页渲染过程中的根本问题。正如 1Password 所强调的:“核心问题在于浏览器如何渲染网页;我们认为,仅靠浏览器扩展程序无法提供彻底的技术解决方案。”
为了减轻与点击劫持攻击相关的风险,除了保持密码管理器扩展更新之外,还请考虑以下最佳做法。
在密码管理器中停用自动填充功能
由于自动填充是此类攻击的主要利用功能,因此关闭此功能可以显著增强您的安全性。与自动填充字段不同,您需要在需要时点击指定按钮手动填写。
要禁用自动填充,请前往密码管理器扩展程序的设置,找到“自动填充并保存”部分下的开关。禁用自动填充功能可避免自动输入。
配置单击或站点特定访问的扩展
大多数浏览器允许您将扩展程序配置为仅在特定网站上激活,或仅在通过扩展程序图标手动激活时激活。通过设置这些参数,您可以有效地防止在一般浏览网站上进行不必要的自动填充操作。
访问浏览器的“扩展程序”页面,然后访问密码管理器的详细信息。查找“站点访问”部分,通常默认设置为“所有站点”。请将其更改为“点击时”或根据您的选择指定特定站点。选择“点击时”会将激活限制为点击其图标时,而“特定站点”则仅在预定义的网站上启用。
选择桌面或移动应用程序而不是浏览器扩展
由于点击劫持攻击主要针对浏览器扩展程序,因此利用密码管理器的原生桌面或移动应用程序可以降低风险。这些应用程序通常提供简单的搜索和复制选项,以简化手动输入流程。
访问登录页面时,只需在密码管理器应用程序中搜索您的凭据并使用复制功能即可轻松输入。
使用脚本阻止扩展
许多点击劫持攻击严重依赖于网页上运行的脚本,因此脚本拦截器是一道有效的防线。虽然拦截 JavaScript 可以阻止这些攻击,但我们建议采取更广泛的措施,即拦截不受信任域上的所有脚本,以实现最佳安全性。
NoScript 是一款强大的扩展程序,可以满足这一需求,适用于Chrome和Firefox。它会自动阻止各种形式的活动脚本,包括 JavaScript,从而允许您选择性地在受信任的站点上启用脚本。
额外提示:增强账户安全性
为了防止凭证被盗,实施额外的安全措施至关重要。强烈建议使用双因素身份验证 (2FA);然而,除了短信验证之外,还需要更可靠的双因素身份验证方法,因为短信验证经常被破解。TOTP 是一个不错的起点,但请确保身份验证器应用位于其他设备上。此外,还可以考虑使用密钥或硬件安全密钥来获得更强大的保护。
为了减少潜在的漏洞,请避免过度依赖自动登录解决方案。虽然这可能需要额外的步骤,但这种轻微的不便可以显著提升您的安全性,尤其是在您在密码管理器中存储大量敏感信息的情况下。
发表回复