Ο διαχειριστής κωδικών 1Password ανακοίνωσε μια νέα λειτουργία. Για να αποτρέπονται καλύτερα οι επιθέσεις phishing, η λειτουργία Autofill θα εμπλουτιστεί με μια επιπλέον προειδοποίηση. Δείτε πως ωφελούνται οι χρήστες/χρήστριες.
Γιατί οι password managers είναι χρήσιμοι (και πού μπορεί να υπάρξει κίνδυνος)
Όσοι θέλουν να χρησιμοποιούν ισχυρούς και σύνθετους κωδικούς, αλλά δεν θέλουν να τους θυμούνται έναν-έναν, μπορούν να βασιστούν σε διαχειριστές κωδικών.
Αυτά τα προγράμματα ξεκλειδώνουν με ένα μόνο κύριο συνθηματικό και αποθηκεύουν με ασφάλεια όλα τα υπόλοιπα στοιχεία σύνδεσης.
Όταν συνδέεστε σε μια ιστοσελίδα για την οποία ο διαχειριστής σας έχει αποθηκευμένα δεδομένα, πολλά εργαλεία προσφέρουν μια πρακτική λειτουργία Autofill, η οποία συμπληρώνει αυτόματα email/όνομα χρήστη και κωδικό.
Όμως, σε ορισμένες περιπτώσεις αυτό μπορεί να οδηγήσει σε προβλήματα.
1Password: Το εργαλείο αναγνωρίζει δυνητικά επικίνδυνες ιστοσελίδες
Η λειτουργία Autofill μπορεί, υπό προϋποθέσεις, να εισάγει δεδομένα αυτόματα σε πλαστές ιστοσελίδες.
Αν οι κυβερνοεγκληματίες χρησιμοποιήσουν, για παράδειγμα, ελαφρώς παραλλαγμένα domains (όπως faceboook.com αντί για facebook.com) και αντιγράψουν την εμφάνιση της σελίδας, οι χρήστες/χρήστριες μπορεί να παραπλανηθούν και να θεωρήσουν ότι πρόκειται για την πραγματική ιστοσελίδα.
Το έχουν αναγνωρίσει και οι υπεύθυνοι πίσω από το 1Password. Για να μην συμβεί αυτό, το 1Password ήδη δεν προσφέρει Autofill όταν το URL δεν ταιριάζει με το URL που είναι αποθηκευμένο στο εργαλείο.
Εν τούτοις, αυτό συχνά δεν εμποδίζει τους χρήστες από το να αντιγράφουν χειροκίνητα email και κωδικό από το 1Password και να τα επικολλούν στα πεδία σύνδεσης.
Στο εξής, η επέκταση του 1Password στον browser θα εμφανίζει μια επιπλέον ειδοποίηση όταν συμβαίνει αυτό. Το μήνυμα θα αναφέρει: «Η ιστοσελίδα στην οποία βρίσκεστε δεν είναι συνδεδεμένη με κάποιο login στο 1Password», όπως σημειώνεται στην ανακοίνωση.
Για να βεβαιωθούν ότι πρόκειται όντως για αυθεντική ιστοσελίδα, οι χρήστες/χρήστριες θα πρέπει, σύμφωνα με την ειδοποίηση, να ελέγχουν το URL.
Το 1Password γράφει σχετικά: «Η νέα λειτουργία μας κατά του phishing προσθέτει ένα ακόμη επίπεδο προστασίας. […] Το pop-up τους υπενθυμίζει να κόψουν ταχύτητα και να ρίξουν μια πιο προσεκτική ματιά πριν συνεχίσουν».
Πότε θα το δείτε διαθέσιμο
Ο νέος προειδοποιητικός μηχανισμός του 1Password θα διατεθεί σταδιακά σε όλους τους χρήστες με ατομικές και οικογενειακές συνδρομές. Μόλις γίνει διαθέσιμη, η λειτουργία θα είναι ενεργοποιημένη από προεπιλογή.
Αν μια εταιρεία χρησιμοποιεί 1Password, θα πρέπει πρώτα οι διαχειριστές (admins) να εγκρίνουν/ενεργοποιήσουν τη νέα λειτουργία για τους υπόλοιπους χρήστες μέσω της admin κονσόλας.
Πως να ενισχύσετε ακόμη περισσότερο την προστασία από phishing)
Η νέα προειδοποίηση του 1Password είναι ιδιαίτερα χρήσιμη, γιατί στο phishing ο στόχος δεν είναι μόνο να «σπάσει» κάποιος έναν κωδικό, αλλά να σας πείσει να τον δώσετε εσείς οι ίδιοι.
Για να μειώσετε ακόμη περισσότερο τον κίνδυνο, βοηθούν οι παρακάτω πρακτικές:
1) Ελέγξτε το domain με προσοχή (όχι μόνο το λογότυπο)
- Κοιτάξτε ολόκληρο το domain, όχι μόνο το όνομα που μοιάζει σωστό. Συχνά οι απάτες κρύβονται σε μικρές αλλαγές (π.χ. επιπλέον γράμματα, παύλες, διαφορετικές καταλήξεις όπως .net αντί .com).
- Προσέξτε subdomains: π.χ. login.example.com (ενδέχεται να είναι νόμιμο) vs example.com.login-secure.ru (σχεδόν σίγουρα ύποπτο).
2) Μην βασίζεστε στο “https” ως απόδειξη νομιμότητας
Το HTTPS/λουκέτο δείχνει κρυπτογράφηση στη μεταφορά δεδομένων, όχι ότι η σελίδα είναι απαραίτητα αυθεντική. Πολλές phishing σελίδες έχουν κανονικά πιστοποιητικά.
3) Χρησιμοποιήστε 2FA/MFA (και ιδανικά passkeys όπου γίνεται)
Ακόμη κι αν κάποιος υποκλέψει κωδικό:
- Η επαλήθευση 2 παραγόντων (2FA/MFA) μπορεί να μπλοκάρει την είσοδο.
- Όπου υποστηρίζεται, προτιμήστε passkeys ή security keys (ανθεκτικότερες λύσεις απέναντι στο phishing σε σχέση με SMS).
4) Αφήστε το Autofill να λειτουργεί ως «σήμα εμπιστοσύνης»
Ένας πρακτικός κανόνας: αν δεν εμφανίζεται Autofill εκεί που το περιμένατε, σταματήστε και:
- Ελέγξτε ξανά το URL,
- κλείστε την καρτέλα,
- ανοίξτε τη σωστή σελίδα από bookmark ή πληκτρολογώντας το domain χειροκίνητα.
5) Για ομάδες/επιχειρήσεις: βάλτε πολιτικές και εκπαίδευση
Σε περιβάλλον εταιρείας, αξίζει να συνδυαστεί η νέα δυνατότητα με:
- σύντομη εκπαίδευση αναγνώρισης phishing,
- κανόνες για μοναδικούς κωδικούς ανά υπηρεσία,
- και σαφές κανάλι αναφοράς ύποπτων emails/σελίδων προς το IT/Security.
Με λίγα λόγια, η νέα ειδοποίηση του 1Password λειτουργεί σαν «φρένο» τη στιγμή που είναι πιο εύκολο να γίνει το λάθος: όταν πάμε να επικολλήσουμε στοιχεία σύνδεσης σε σελίδα που δεν ταιριάζει με την αποθηκευμένη διεύθυνση.
Αν το συνδυάσετε με έλεγχο URL και 2FA/passkeys, μειώνετε σημαντικά την πιθανότητα επιτυχούς phishing.
