密碼管理器 1Password 新增釣魚網站警告,當使用者嘗試複製貼上密碼到釣魚網站時就被攔截,只有使用者閱讀提醒並點擊 OK 後才能貼上。 1Password 表示有些用戶搞不清楚為什麼沒有自動填充密碼,當訪問的是釣魚網站自然不可能自動填充,此時用戶還會嘗試複製貼上密碼,如果真貼上那就要洩露給釣魚網站了。
密碼管理器 1Password 日前宣布新增新的安全層保護用戶,這個新的安全層是當用戶嘗試填充或複製貼上密碼時,檢查網站是否為釣魚網站,如果判定為釣魚網站則會彈出警告提醒用戶。
這個防釣魚網站的工作原理是這樣的:
當使用者點擊某個連結時正常情況下 1Password 校驗通過後會自動彈出登入訊息,使用者只需要點擊登入資訊就可以自動填入完成登入。
但如果這個連結與用戶保存的帳號裡的地址不符時,1Password 並不會彈出登入訊息,這種情況下有些用戶不明白為什麼沒有自動填充,這個時候用戶可能會嘗試手動複製和貼上密碼。
當使用者嘗試手動複製和貼上密碼時 1Password 就會彈出警告:這個網站與你保存的登入資訊不符,基於安全考慮請仔細甄別這個網站,如果確定要貼上請點擊是。
也就是整個過程中 1Password 會增加安全確認,只有用戶查看警告並點擊 OK 後才能貼上密碼,防止不明所以的用戶直接將真正的帳號密碼都貼到釣魚網站上。
以下是開發團隊展示的案例:
案例中的釣魚網站網域是 Faceboook.com,真正的網域是 Facebook.com,用戶如果沒仔細看地址就很難發現地址中多了個字符,這種情況下釣魚網站顯然沒法匹配用戶保存的 Facebook.com。
所以用戶嘗試手動複製貼上密碼時 1Password 就會彈出警告,只有在用戶確認該地址無誤的情況下才能繼續複製粘貼,至於自動填充那是不可能的,除非用戶將釣魚網站添加到 1Password 中。
何時啟用這個功能:
對於 1Password 個人和家庭版用戶,此功能將在後續正式推出後預設為啟用,對於企業用戶則需要管理員在 1Password 管理控制台的身份驗證策略中為員工啟用此功能,該功能不會被預設為啟用。
