
密碼管理器旨在保護您的密碼和敏感訊息,但它們也可能被利用,使攻擊者能夠存取這些資訊。一種新發現的基於 DOM 的點擊劫持方法可以欺騙某些密碼管理器,使其將憑證自動填入惡意表單中。以下將深入探討這種攻擊的運作方式以及如何增強防禦。
了解密碼管理器的漏洞
最近的發現凸顯了一種文件物件模型 (DOM) 漏洞,該漏洞可促成一種點擊劫持變體,使惡意攻擊者能夠秘密觸發密碼管理器的自動填充功能。這可能導致敏感資料(例如密碼、TOTP/2FA 代碼和信用卡資訊)被盜。此類攻擊的機制如下:
- 使用者進入由攻擊者控制的網頁,該網頁顯示看似無害的可點擊元素,例如,cookie 同意橫幅或彈出關閉按鈕。
- 利用 DOM 可見性技巧,攻擊者透過設定將不可見的表單放置在合法的可點擊元素上
opacity:0
。 - 點擊後,使用者的密碼管理器會自動使用已儲存的憑證填充隱藏表單,從而允許網路犯罪分子捕獲它們。
整個操作悄無聲息地進行,用戶通常意識不到自己的資訊已被洩露。最近的一項研究評估了11款領先的密碼管理器,發現大多數具有自動填入功能的密碼管理器都容易受到攻擊。針對這些發現,一些密碼管理器發布了更新,並添加了自動填入的確認提示,但許多密碼管理器仍然存在風險。
然而,這些補丁大多只是權宜之計,無法解決瀏覽器網頁渲染過程中的根本問題。正如 1Password 所強調的:“核心問題在於瀏覽器如何渲染網頁;我們認為,僅靠瀏覽器擴展程序無法提供徹底的技術解決方案。”
為了減輕與點擊劫持攻擊相關的風險,除了保持密碼管理器擴充功能更新之外,還請考慮以下最佳做法。
在密碼管理員中停用自動填滿功能
由於自動填充是此類攻擊的主要利用功能,因此關閉此功能可顯著增強您的安全性。與自動填入欄位不同,您需要在需要時點擊指定按鈕手動填寫。

若要停用自動填充,請前往密碼管理器擴充功能的設置,找到「自動填充並儲存」部分下的開關。停用自動填滿功能可避免自動輸入。
配置單擊或站點特定訪問的擴展
大多數瀏覽器允許您將擴充功能配置為僅在特定網站上激活,或僅在透過擴充功能圖示手動啟動時啟動。透過設定這些參數,您可以有效地防止在一般瀏覽網站上進行不必要的自動填入操作。
造訪瀏覽器的「擴充功能」頁面,然後存取密碼管理器的詳細資訊。尋找“站點訪問”部分,通常預設為“所有站點”。請將其變更為「點擊時」或根據您的選擇指定特定網站。選擇「點擊時」會將啟動限制為點擊其圖示時,而「特定網站」則僅在預先定義的網站上啟用。

選擇桌面或行動應用程式而不是瀏覽器擴展
由於點擊劫持攻擊主要針對瀏覽器擴充程序,因此利用密碼管理器的原生桌面或行動應用程式可以降低風險。這些應用程式通常提供簡單的搜尋和複製選項,以簡化手動輸入流程。
造訪登入頁面時,只需在密碼管理器應用程式中搜尋您的憑證並使用複製功能即可輕鬆輸入。
使用腳本阻止擴展
許多點擊劫持攻擊嚴重依賴網頁上執行的腳本,因此腳本攔截器是一道有效的防線。雖然攔截 JavaScript 可以阻止這些攻擊,但我們建議採取更廣泛的措施,即攔截不受信任域上的所有腳本,以實現最佳安全性。

NoScript 是一款強大的擴充程序,可滿足這項需求,適用於Chrome和Firefox。它會自動封鎖各種形式的活動腳本,包括 JavaScript,從而允許您選擇性地在受信任的網站上啟用腳本。
額外提示:增強帳戶安全性
為了防止憑證被盜,實施額外的安全措施至關重要。強烈建議使用雙重認證 (2FA);然而,除了簡訊驗證之外,還需要更可靠的雙重認證方法,因為簡訊驗證經常被破解。 TOTP 是一個不錯的起點,但請確保身份驗證器應用程式位於其他裝置上。此外,還可以考慮使用金鑰或硬體安全金鑰來獲得更強大的保護。
為了減少潛在的漏洞,請避免過度依賴自動登入解決方案。雖然這可能需要額外的步驟,但這種輕微的不便可以顯著提升您的安全性,尤其是在您在密碼管理器中儲存大量敏感資訊的情況下。
發佈留言