In theorie bent u de enige die kan inloggen op uw apparaat en toegang kan krijgen tot uw gegevens, voor het automatisch aanvullen. In de praktijk is dit niet altijd het geval. Gebruikers die zich bewust zijn van vrienden die toegang hebben tot hun accounts, kunnen zich soms afmelden voor de functie van automatisch aanvullen, maar de afwezigheid ervan wordt ongetwijfeld opgemerkt wanneer u talloze wachtwoorden moet onthouden.


Microsoft ingenieurs hebben nu de zorgen van gebruikers in een post op GitHub aangepakt:

Gebruikers die hun apparaten snel met familie en vrienden willen delen, hebben hun bezorgdheid geuit over het feit dat hun accounts zonder hun toestemming worden geopend vanwege het gedrag van automatisch aanvullen in de browser. Overweeg bijvoorbeeld een gebruiker, User A, die zijn legitimatiegegevens heeft social.example opgeslagen in de browser voor het gemak van inloggen. Zelfs als User A uitlogt bij zijn social.example account voordat hij zijn apparaat aan User B (een vriend of familielid) overhandigt om te lenen, zal automatisch aanvullen nog steeds automatisch de opgeslagen referentie van User A in het inlogformulier injecteren als User B naar de social.example  startpagina navigeert. Hierdoor kan User B met één klik inloggen op het account van User A. Bovendien kan User B  triviaal  de platte tekst van het geïnjecteerde wachtwoord onthullen.

Het idee van een oplossing voor een masterwachtwoord gaat meer dan 10 jaar terug, maar Microsoft volgde het idee niet op omdat ze niet zeker waren ‘of een functie voor een masterwachtwoord die niet wordt ondersteund door ofwel legitimatiegegevens per inloggegevens, of een volledige inloggegevenscodering’, die gebruikers naar een vals gevoel van veiligheid geven omdat lokale aanvallers over het algemeen buiten het browserbedreigingsmodel vallen.


we gaan nu snel vooruit naar 2020, Microsoft heeft nu een oplossing voorgesteld die deze zorgen wegneemt. “Op basis van gebruikersonderzoek / feedback” suggereert het bedrijf dat “een standaard uitgeschakelde OS-verificatie-hook in het Chromium auto fill-code pad” de oplossing is.

Een dergelijke her-verificatie hook kan het opnieuw invoeren van een wachtwoord op OS-niveau inhouden, maar kan ook biometrische oplossingen met een lagere wrijving op apparaten en besturingssystemen omvatten die deze ondersteunen. Of, en zo ja hoe, user-agents ervoor kiezen om een ​​gebruikersinterface te bouwen rond deze her-authenticatie hook om ervoor te zorgen dat hun gebruikers het bedreigingsmodel en de beperkingen ervan duidelijk kunnen begrijpen, valt buiten het bestek van deze uitleg.

Als de gebruiker zich aanmeldt voor de her-authenticatie hook, wil Microsoft dat de gebruiker zoveel mogelijk controle heeft over zijn UX. Hier is het voorstel op GitHub:

Deze woordvoerder stelt de toevoeging voor van een standaard uit functie voor en een besturingssysteem her-authenticatie in het Chromium auto fill-code pad. Hiermee wordt de bestaande logica voor her-verificatie van het besturingssysteem gebruikt die ook wordt gebruikt in de wachtwoordbeheerder van Chromium bij het bekijken of exporteren van opgeslagen wachtwoorden. En wordt een inhoudsinstelling toegevoegd om te configureren hoe lang een succesvolle her-verificatie geldig moet blijven. Standaard is deze inhoudsinstelling zo ingesteld dat er nooit verificatie vereist is, wat betekent dat zelfs als de build-flag die deze functionaliteit aanstuurt, is ingeschakeld, de her-verificatie hook niet functioneert totdat de user-agent de standaardwaarde aanpast (hoogstwaarschijnlijk door UX bloot te leggen).

Als u deze her-verificatie hook inschakelt en de standaardinstelling voor inhoud uitschakelt, wordt ook hetzelfde gedrag mogelijk gemaakt dat wordt bestuurd door de  Chromium fill-on-account-select-functie flag. Deze beslissing is genomen om ervoor te zorgen dat gebruikers niet om verificatie worden gevraagd totdat ze aangeven dat ze toegang willen tot hun opgeslagen gegevens.

Natuurlijk is het gedeelde apparaat scenario niet de enige mogelijkheid; maar Microsoft zei dat het ‘de basis legt voor toekomstige verbeteringen’.

We staan ​​open voor het verkennen van verdere investeringen in deze ruimte met andere uitvoerders om toegevoegde waarde te bieden aan gebruikers.

Zowel Chrome als Firefox hebben al Windows Hello-verificatie gebruikt om de weergave van opgeslagen wachtwoorden in Instellingen te autoriseren. We kunnen ervan uitgaan dat we niet zullen vragen nog een ander wachtwoord te onthouden, maar dat gebruikers waarschijnlijk de biometrische authenticatie van Windows Hello willen gebruiken om het automatisch invullen van wachtwoorden te autoriseren voor degenen die zich zorgen maken over hun gedeelde apparaten.



Pin It on Pinterest