想象下这样一个场景:你让朋友使用你的电脑和网页浏览器,当朋友填写一些在线表单数据时候,浏览器会尝试自动完成信息。这样在未经你许可的情况下,你的信息(例如电子邮件和用户名称)将会以自动填充的方式显示。
如果您在浏览器中保存了社交媒体网站的凭据,并且退出了帐户并允许您的朋友使用浏览器,则自动填充可能仍会自动注入或建议您的信息。微软表示:“这能够让用户 B 轻松点击一下就能登录用户 A 的帐号。此外用户 B 也可以轻松的获得已经保存的密码明文。”
为此微软推荐浏览器的自动填充功能应该和主密码功能挂钩,这样在向好友或者家人分享设备的时候就不会出现上述情况了。此主密码功能适用于所有自动填充信息,而不仅仅是已受保护的密码。
在 Chromium 自动填充代码路径中,微软还建议默认关闭该功能,并将其同系统认证所绑定。也就是说,Chromium 的自动填充将会使用 Windows 10 系统密码管理器中的身份验证逻辑,并对配置成功的有效时间进行设置。
微软指出:“做出这一决定是为了确保在提示用户要访问其保存的凭据之前,不提示用户进行身份验证。”
近日 Mozilla 也宣布在今年晚些时候发布的 Firefox 76 稳定版更新中,Mozilla 将启用主密码来保护用户已经保存的网站密码。该功能已经在最新的 Nightly 通道版本中上线,根据路线图将于 5 月 5 日随稳定版上线。伴随着越来越多的人在线访问敏感服务(例如银行账户),此举变得非常有意义。
微信扫一扫