A nova opção de preenchimento automático do Bitwarden adiciona resistência contra phishing
23 de Fevereiro de 2024

O serviço de gerenciamento de senhas de código aberto Bitwarden introduziu um novo menu de preenchimento automático que aborda o risco de credenciais de usuários serem roubadas por meio de campos de formulários maliciosos.

O problema foi destacado quase um ano atrás quando analistas da Flashpoint demonstraram que era possível para invasores injetar iframes falsos em sites legítimos vulneráveis ou subdomínios suscetíveis à invasão.

A resposta do Bitwarden ao risco na época foi que a função de preenchimento automático de iframe deveria permanecer disponível para atender a cenários de uso legítimos, como para icloud.com ou apple.com, mas continuará desativada por padrão.

Os usuários que desejavam ativá-la receberiam um aviso visível sobre o risco de ativar a opção no menu de extensão.

Alguns dias depois, a equipe do Bitwarden anunciou que adicionaria outra camada de segurança, permitindo preenchimentos automáticos de iframe apenas em sites confiáveis e subdomínios do domínio de origem.

Hoje, o gerenciador de senhas introduziu um sistema que incorpora lições aprendidas com desafios de segurança passados, habilitando os usuários a preencherem credenciais de login sem o risco de perder seus dados sensíveis para agentes de phishing.

Especificamente, as seguintes salvaguardas agora garantem a segurança do sistema de preenchimento automático:

O Bitwarden preencherá as credenciais apenas quando um usuário selecionar um campo de formulário, mitigando o risco de preenchimento automático de credenciais em sites maliciosos ou iframes sem o conhecimento do usuário.

Os usuários têm a opção de proteger as informações de login com senha, adicionando outra camada de segurança ao utilizar o preenchimento automático.

Foi conduzido um extenso teste de intrusão de terceiros e para identificar e fechar lacunas de segurança, presumivelmente incluindo aquelas relacionadas a iframes e subdomínios.

Em termos de experiência do usuário, o novo recurso de preenchimento automático foi projetado para manter o preenchimento automático num processo fácil, mantendo o menu em cima de todos os outros elementos visíveis, reposicionando-o com base no tamanho da página e na posição de rolagem, permitindo a navegação pelo teclado e apenas mostrando resultados se o usuário estiver logado na extensão.

Por padrão, o recurso está desativado, mas os usuários podem ativá-lo no ícone de extensão do Bitwarden em 'Configurações' → 'Preenchimento automático', onde podem definir as opções de menu suspenso 'Exibir menu de preenchimento automático nos campos de formulário'.

Para evitar conflitos, é recomendável desativar os recursos de preenchimento automático do seu navegador da web se ele estiver ativado na extensão Bitwarden.

O gerenciador de senhas possui múltiplas opções de preenchimento automático que incluem atalhos de teclado, um menu de contexto dedicado, preenchimento automático na payload da página e preenchimento automático manual.

Os usuários também podem definir parâmetros específicos para as URLs confiáveis que desejam que o Bitwarden forneça a opção de preenchimento automático.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...