Nueva opción de auto-fill de Bitwarden agrega resistencia contra phishing

La plataforma de gestión de contraseñas de código abierto Bitwarden ha introducido un nuevo menú de auto-fill en línea que aborda el riesgo de que las credenciales de usuario sean robadas a través de campos de formulario maliciosos.

El problema fue destacado hace casi un año cuando analistas de Flashpoint demostraron que era posible para los atacantes inyectar iframes falsos en sitios legítimos vulnerables o subdominios susceptibles de ser secuestrados.

La respuesta de Bitwarden al riesgo en ese momento fue que la función de auto-fill de iframes debería seguir estando disponible para servir a escenarios de uso legítimo, como icloud.com o apple.com, pero continuaría desactivada de forma predeterminada.

Los usuarios que deseaban activarlo recibirían una advertencia visible sobre el riesgo de activar la opción en el menú de la extensión.

Unos días después, el equipo de Bitwarden anunció que agregarían otra capa de seguridad, permitiendo auto-fill rellenar iframes solo en sitios y subdominios de confianza del dominio de origen.

Hoy, el administrador de contraseñas introdujo un sistema que incorpora lecciones aprendidas de desafíos de seguridad pasados, permitiendo a los usuarios completar credenciales de inicio de sesión sin arriesgar la pérdida de sus datos sensibles ante actores de phishing.

Específicamente, las siguientes medidas de seguridad garantizan la seguridad del sistema de auto-fill:

Bitwarden solo completará credenciales cuando un usuario seleccione un campo de formulario, mitigando el riesgo de completar automáticamente credenciales en sitios web maliciosos o iframes sin la conciencia del usuario.

Los usuarios tienen la opción de proteger con contraseña la información de inicio de sesión, agregando otra capa de seguridad al usar el auto-rellenado.

Se realizó una extensa prueba de penetración de terceros para identificar y cerrar brechas de seguridad, presumiblemente incluyendo aquellas relacionadas con iframes y subdominios.

En términos de experiencia de usuario, la nueva función de auto-rellenado en línea fue diseñada para mantener el proceso de auto-rellenado fácil al mantener el menú en la parte superior de todos los demás elementos visibles, reposicionándolo según el tamaño de la página y la posición de desplazamiento, permitiendo la navegación por teclado y solo mostrando resultados si el usuario ha iniciado sesión en la extensión.

Por defecto, la función está desactivada, pero los usuarios pueden habilitarla desde el icono de la extensión de Bitwarden en ‘Configuration’ → ‘auto-fill’, donde pueden configurar las opciones del menú desplegable ‘Mostrar menú de auto-fill campos de formulario’.

Para evitar conflictos, se recomienda desactivar las funciones de auto-fill en su navegador web si está habilitado en la extensión de Bitwarden.

El administrador de contraseñas cuenta con múltiples opciones de auto-fill que incluyen accesos directos de teclado, un menú contextual dedicado, auto-fil en carga de página y auto-fillmanual.

Los usuarios también pueden establecer parámetros específicos para las URL de confianza en las que desean que Bitwarden proporcione la opción de auto-fill.

Related Posts
Clear Filters

La autenticación multifactor (MFA) de Microsoft es un mecanismo de seguridad diseñado para proteger el acceso a cuentas y servicios,…

Más de 4,000 Backdoors web abandonados pero activos fueron secuestrados, y su infraestructura de comunicación fue hundida digitalmente después de…

Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.