Forum Övrigt Nyhetskommentarer Tråd Inlägg

Bitwarden kritiseras för osäker lösenordshantering

1 2
Skriv svar
Permalänk
Medlem
Skrivet av Kyraal:

Japp, det får en ju att stoppa upp lite och tänka varför den inte vill automatiskt vill fylla i t.ex. paypal.com, och så upptäcker man att det faktiskt är paypaI.com man är på.

Gå till inlägget

Kan man ha kommatecken i webbadresser? Eller är det nån kyrillisk bokstav du använder som liknar ett litet L?

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Skrivet av guermantes:

Kan man ha kommatecken i webbadresser? Eller är det nån kyrillisk bokstav du använder som liknar ett litet L?

Gå till inlägget

Stort I.

Visa signatur

Akta dig för XY-Problemet, sätt alltid dina frågor i ett sammanhang!

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av pv2b:

Stort I.

Gå till inlägget

[dumstrut på...]

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av pv2b:

Stort I.

Gå till inlägget
Skrivet av guermantes:

[dumstrut på...]

Gå till inlägget

Tänkte inte på att webbläsare omvandlar allt till små bokstäver så där hade det ju blivit www.paypai.com, men det är ju tillräckligt för att lura någon som är lite långsynt och inte har på sig glasögonen

Visa signatur

Smurf

Redigera
Citera flera Citera
Permalänk
Medlem

Version 2023.3.0:

"Browser Extension - Improved auto-fill security: Browser extensions will now disallow auto-fill on page load for untrusted iframes. Browser extensions will also warn users about untrusted iframes when manually auto-filling, using the context menu, or using keyboard shortcuts, and will warn users when auto-filling HTTP sites that expect HTTPS based on that item's saved URI(s). See here."

Visa signatur

Desktop: Ryzen 5800X3D || MSI X570S Edge Max Wifi || Sapphire Pulse RX 7900 XTX || Gskill Trident Z 3600 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Skrivet av evil penguin:

Version 2023.3.0:

"Browser Extension - Improved auto-fill security: Browser extensions will now disallow auto-fill on page load for untrusted iframes. Browser extensions will also warn users about untrusted iframes when manually auto-filling, using the context menu, or using keyboard shortcuts, and will warn users when auto-filling HTTP sites that expect HTTPS based on that item's saved URI(s). See here."

Gå till inlägget

Härligt! Det behövs lite publicitet bara så kan saker fixas snabbt.

Visa signatur

Asus ROG STRIX B550-F / Ryzen 5800X3D / 48 GB 3200 MHz CL14 / Asus TUF 3080 OC / WD SN850 1 TB, Kingston NV1 2 TB + NAS / Corsair RM650x V3 / Acer XB271HU (1440p165) / LG C1 55"
Mobil: Moto G200

Redigera
Citera flera Citera
Permalänk
Inaktiv

Aldrig använt autofyll i webbläsaren på datorn men i mobilen. Det bör man alltså inte använda? Går det ändå smidigt att logga in på tjänster i mobilen utan det? Har för mig man fick växla, gå fram och tillbaka, mellan appen/sidan man vill logga in på och Bitwarden appen.

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Skrivet av anon315148:

Aldrig använt autofyll i webbläsaren på datorn men i mobilen. Det bör man alltså inte använda? Går det ändå smidigt att logga in på tjänster i mobilen utan det? Har för mig man fick växla, gå fram och tillbaka, mellan appen/sidan man vill logga in på och Bitwarden appen.

Gå till inlägget

Hm, klurigt fall där. När det gäller appar så lär det vara lugnt (med t ex Android autofill-system), de risker som finns på webbsidor (som dolda formulär som stjäl uppgifter) gäller inte där.
När det gäller webbläsaren är det klurigare. Gissningsvis vore det bra att inte köra att den fyller i fälten helt automatiskt (om det går?) utan att man som användare måste klicka i fältet först.

Visa signatur

Asus ROG STRIX B550-F / Ryzen 5800X3D / 48 GB 3200 MHz CL14 / Asus TUF 3080 OC / WD SN850 1 TB, Kingston NV1 2 TB + NAS / Corsair RM650x V3 / Acer XB271HU (1440p165) / LG C1 55"
Mobil: Moto G200

Redigera
Citera flera Citera
Permalänk
Inaktiv
Skrivet av Thomas:

Hm, klurigt fall där. När det gäller appar så lär det vara lugnt (med t ex Android autofill-system), de risker som finns på webbsidor (som dolda formulär som stjäl uppgifter) gäller inte där.
När det gäller webbläsaren är det klurigare. Gissningsvis vore det bra att inte köra att den fyller i fälten helt automatiskt (om det går?) utan att man som användare måste klicka i fältet först.

Gå till inlägget

Som jag skrev har jag inte autofyll aktiverat i webbläsaren på datorn. Inget fylls i automatiskt utan jag måste själv aktivt markera fälten och klicka på Bitwarden. Inga svårigheter alls (fungerar likadant med t.ex. Apples inbyggda lösenordshanterare).

Reagerade mer på att just "autofyll" var riskfyllt och i mobilen används ju autofyll för att kunna logga in med Bitwarden i appar eller i webbläsaren, då detta inte fungerar lika smidigt som på datorn att man bara klickar. Undrar därför om detta också är riskfyllt och vad alternativen är.

Det stämmer att man behöver aktivera autofyll i Androids eller iPhones inställningar för att det ska fungera i mobilen. Är detta säkert eller osäkert? Syftar artikeln endast på autofyll i webbläsaren (dator) eller även på mobilen?

Redigera
Citera flera Citera
Permalänk
Hedersmedlem
Skrivet av anon315148:

Som jag skrev har jag inte autofyll aktiverat i webbläsaren på datorn. Inget fylls i automatiskt utan jag måste själv aktivt markera fälten och klicka på Bitwarden. Inga svårigheter alls (fungerar likadant med t.ex. Apples inbyggda lösenordshanterare).

Reagerade mer på att just "autofyll" var riskfyllt och i mobilen används ju autofyll för att kunna logga in med Bitwarden i appar eller i webbläsaren, då detta inte fungerar lika smidigt som på datorn att man bara klickar. Undrar därför om detta också är riskfyllt och vad alternativen är.

Det stämmer att man behöver aktivera autofyll i Androids eller iPhones inställningar för att det ska fungera i mobilen. Är detta säkert eller osäkert? Syftar artikeln endast på autofyll i webbläsaren (dator) eller även på mobilen?

Gå till inlägget

Jag pratade alltså om mobilen hela tiden där eftersom du redan skrivit om datorn.

Autofyll kan ju ha två skilda meningar. Dels så heter både Androids och iOS system för att fylla i lösenord utan att behöva skriva med tangentbordet (eller kopiera/klistra in) "Autofill", och dels så kan det inom just det sammanhanget även betyda skillnaden mellan att helt automatiskt fylla i (du går till en adress och så fort den laddat står dina uppgifter ifyllda i formuläret) och att man själv behöver peta i ett av fälten och välja användarnamn i listan (så funkar det i Android åtminstone).

Själva funktionen i sig är säker, men att helt automatiskt fylla i i webbläsaren på mobilen bör ha samma risker som på datorn, där webbsidor kan ha dolda fält som tar emot uppgifterna och skickar dem på villovägar.
Att själv peta i "användarnamn"-fältet, välj en autofill-grej och sedan logga in bör motsvara att göra samma sak på datorn.

Med att "appar" är säkra menar jag att logga in i annat än webbläsaren på mobilen, t ex i appar för e-mail/twitter/reddit/spotify och allt vad det kan vara.

Visa signatur

Asus ROG STRIX B550-F / Ryzen 5800X3D / 48 GB 3200 MHz CL14 / Asus TUF 3080 OC / WD SN850 1 TB, Kingston NV1 2 TB + NAS / Corsair RM650x V3 / Acer XB271HU (1440p165) / LG C1 55"
Mobil: Moto G200

Redigera
Citera flera Citera
Permalänk
Inaktiv
Skrivet av Thomas:

Jag pratade alltså om mobilen hela tiden där eftersom du redan skrivit om datorn.

Autofyll kan ju ha två skilda meningar. Dels så heter både Androids och iOS system för att fylla i lösenord utan att behöva skriva med tangentbordet (eller kopiera/klistra in) "Autofill", och dels så kan det inom just det sammanhanget även betyda skillnaden mellan att helt automatiskt fylla i (du går till en adress och så fort den laddat står dina uppgifter ifyllda i formuläret) och att man själv behöver peta i ett av fälten och välja användarnamn i listan (så funkar det i Android åtminstone).

Själva funktionen i sig är säker, men att helt automatiskt fylla i i webbläsaren på mobilen bör ha samma risker som på datorn, där webbsidor kan ha dolda fält som tar emot uppgifterna och skickar dem på villovägar.
Att själv peta i "användarnamn"-fältet, välj en autofill-grej och sedan logga in bör motsvara att göra samma sak på datorn.

Med att "appar" är säkra menar jag att logga in i annat än webbläsaren på mobilen, t ex i appar för e-mail/twitter/reddit/spotify och allt vad det kan vara.

Gå till inlägget

Jaha, nu förstår jag. Tänkte inte ens på att det fins autofyll i webbläsaren på mobilen men det har du ju rätt i. Det har jag aldrig använt heller. Jag har bara aktiverat autofyll i mobilens inställningar så när jag markera ett loginfält så dyker mina inloggningsuppgifter upp som rullgardin och så trycker jag på det och det fylls i. Antar detta inte räknas som autofyll då det inte står utan jag måste klicka först (och kan även välja att inte logga in).

Tack för klargörandet. Autofyll i webbläsaren trodde jag bara fungerade om man sparade lösenord i webbläsaren förutom på datorn då. Såg nämligen alternativet autofyll i Bitwarden pluginet i webbläsaren när jag kollade efter att ha läst denna artikel. Där står även varningstext.

Känns skönt att man inte har använt Bitwarden eller lösenordshanterare på fel sätt. Kan också tycka att Bitwarden borde ta bort det istället för bara ha en varningstext (även om jag tror det kan vara avskräckande nog). Det är ju hur enkelt som helst att logga in ändå. Apples inbyggda tror jag inte har det alternativet om jag inte har missat något.

Redigera
Citera flera Citera
1 2
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara