您應該在密碼管理器中關閉自動填充

廣告商已經找到了一種追蹤你的新方法。根據Freedom to Tinker的說法，一些廣告網路現在正在濫用跟蹤指令碼來捕獲你的密碼管理器在網站上自動填充的電子郵件地址。...

廣告商已經找到了一種追蹤你的新方法。根據Freedom to Tinker的說法，一些廣告網路現在正在濫用跟蹤指令碼來捕獲你的密碼管理器在網站上自動填充的電子郵件地址。

但更糟糕的是：如果他們願意，他們也可以用這種技術來獲取你的密碼。這會影響所有使用密碼管理器的人，無論是像Chrome、Firefox或Edge這樣的內建密碼管理器，還是像LastPass這樣的瀏覽器擴充套件。因此，您可能應該禁用自動填充功能以防止發生這種情況。

autofill是如何洩露您的資訊的

在網站上儲存使用者名稱和密碼時，密碼管理器會記住它們。從那時起，它將嘗試自動將它們填入在該網站上看到的使用者名稱和密碼框中。這使得登入更快，因為您只需單擊“登入”。

但是，一些第三方廣告指令碼，幾乎所有網站使用的指令碼，開始使用這些來跟蹤你。它們在後臺執行，建立您甚至看不到的假登入和密碼框，並捕獲密碼管理器填充到它們中的憑據。

您可以透過訪問此演示頁親自檢視此問題。填寫一個虛假的電子郵件地址和密碼，系統會提示您將其儲存在瀏覽器的密碼管理器中。繼續，它將在後臺自動填充，指令碼將捕獲電子郵件地址和密碼。

如果您使用LastPass，這個演示站點當前不會顯示任何問題，但是任何自動填充使用者名稱和密碼而不包含使用者干預的LastPass在理論上都是脆弱的。

到處都需要唯一的密碼，因此密碼管理器仍然是必不可少的

相關：為什麼你應該使用密碼管理器，以及如何開始

這個問題說明了在每個網站上使用唯一密碼的重要性。這不僅僅是一種理論上的攻擊，根據Freedom to Tinker的資料，在目前排名前100萬的網站中，有1110家網站的廣告商實際使用了這種攻擊。廣告商目前只是使用這種技術來獲取使用者名稱和電子郵件地址，但如果有一天他們的心情特別惡劣，也沒有什麼能阻止他們獲取密碼。

如果一個廣告商真的在一個網站上截獲了你的密碼，那麼擁有這些資料的人所能做的最糟糕的事情就是登入這個網站。這並不理想，但也不是最糟糕的事情。如果你對該網站使用與你的電子郵件帳戶相同的密碼，那麼此人可以訪問你的電子郵件帳戶並使用它訪問你的其他帳戶。這是可能發生的最糟糕的情況。

這就是為什麼我們仍然建議使用密碼管理器，不管怎樣。由於普通人在網上擁有各種不同的帳戶，而且攻擊這些網站的頻率也很高，所以你必須為你訪問的每個網站使用一個唯一的密碼。最好的辦法是使用密碼管理器，不要把孩子和洗澡水一起扔出去。

透過禁用自動填充來保護自己

但是，您仍然可以透過在密碼管理器中禁用自動填充來減輕這些指令碼帶來的一些風險。例如，如果您使用LastPass（它目前不受這些指令碼的影響，但理論上可能受到影響），那麼autofill特性會用您的憑證填充登入欄位，這樣您就可以單擊“login”。如果禁用自動填充功能，則必須單擊密碼欄位中的LastPass圖示，然後單擊使用者名稱來填充儲存的資訊。您只能在嘗試登入時執行此操作，因此這將保護您的憑據不被竊取。你不再把它們噴在每一頁上了。

你也可以從你選擇的密碼管理器中複製和貼上使用者名稱和密碼，這會使你更加安全，但卻不那麼方便。我們認為選擇只在登入頁面上手動啟動autofill應該是安全性和方便性之間的一個很好的折衷點。如果這些登入頁面被這樣的指令碼破壞了，沒有什麼可以幫助你，不管怎樣，指令碼可以讀取你的登入詳細資訊，即使你複製貼上或手動輸入它們。

不幸的是，大多數瀏覽器密碼管理器不允許您禁用自動填充。例如，如果您使用的是Google Chrome或microsoftedge中的整合密碼管理器，則無法禁用自動填充功能。Chrome確實有禁用自動填充的選項，但它只禁用地址和電話號碼等資料的自動填充，而不禁用密碼。mozillafirefox的密碼管理器中有一個禁用自動填充密碼的選項，但它隱藏在關於：配置。

如果您使用的是Chrome或Edge中的內建密碼管理器，我們建議您切換到提供更多控制的第三方密碼管理器，如LastPass或1Password。1密碼不受此問題的影響，因為它不包含自動填充功能。

在LastPass中，可以透過單擊瀏覽器工具欄上的LastPass擴充套件按鈕並單擊“首選項”來禁用自動填充。取消選中“常規”下的“自動填寫登入資訊”選項，然後單擊“儲存”儲存更改。