密码管理器长期以来一直提供自动填充–服务或应用程序可以在保存的网站上使用您的用户ID和密码自动填写登录表单。但这项功能也有风险，对于流行的服务Bitwarden来说，风险足够高，你应该避免全部自动填充。

一般来说，安全专家建议关闭最主动的自动填写版本，在该版本中，您的凭据会在保存的网站上自动填写。如果网站被攻破，恶意攻击者可以在你视觉上确认页面正常之前捕获你的登录信息。

但正如安全公司Flashpoint t.io上周在一篇博客文章中详细描述的那样，Bitwarden的自动填充比其他服务有更深的漏洞。在使用iframe的网站上–一个页面从不同的网页加载HTML元素–外部网站上的登录表单仍然填写着保存的网站的用户ID和密码信息。如果这些外部HTML元素中的任何一个被泄露(如广告，这是已知的利用漏洞的媒介)，结果可能是登录数据被盗。

这种放任不是偶然的，而是故意的：在2018年底发布的该公司关于该问题的文件中，Bitwarden表示，其目标是鼓励更好地适应密码管理器。该公司给出了iCloud的例子，作为一个主要的网站，它仍然使用iframe连接到apple.com进行登录。

无论您让Bitwarden抢先填写登录表单还是手动触发自动填充，都存在此漏洞；Flashpoint的测试表明，无论使用哪种方式，自动填充都存在相同的风险。当用户填写不同页面或网站上的表格时，Bitwarden也不会发出警告，还会向网站的子域提供免费通行证。与此同时，其他密码管理器看起来更安全，因为它们的自动填充策略仍然更加严格。在Flashpoint对竞争对手的抽查中，他们只会自动填写保存在金库入口中的网站，或者至少在IFRAME拉入外部表单时闪烁警告。

作为密码管理器用户，您可以采取两个主要步骤来保护自己免受此类漏洞的攻击。(不，答案不是永远不使用密码管理器。)

如果你决定坚持使用Bitwarden，这是一项可靠的服务，也是我们最喜欢的免费密码管理器，你也应该放弃抢占式自动填充。但你也应该采取这一预防措施：

不幸的是，Bitwarden用户在将密码管理器中的登录信息复制并粘贴到表单中时，似乎无法绕过此自动填充问题。如果外部托管的窗体受到威胁，它就会受到威胁。因此，无论您如何输入登录详细信息，您都不会知道它是内部托管的还是外部托管的–这就是问题所在。

至于被入侵的官方网站，目前还没有任何东西可以抵御这种情况。这就是为什么每个网站、服务和应用程序的随机密码如此重要–它们将损害限制在一个地方。不管你喜不喜欢，跟踪数十个(如果不是数百个)凭据的最好方法是密码管理器。明智地选择(和使用)一个，你应该避免最大的麻烦。

– – END – –

– – 转载请声明来源：www.lanpanpan.com – –

编译：盼盼云笔记