Bitwarden 오픈 소스 비밀번호 관리 서비스는 악성 양식 필드를 통해 사용자 자격 증명이 도난당할 위험을 해결하는 새로운 인라인 자동 채우기 메뉴를 도입
약 1년 전 Flashpoint 분석가가 공격자가 하이재킹에 취약한 합법적인 취약한 사이트나 하위 도메인에 악성 iframe을 삽입할 수 있음을 입증하면서 해당 문제는 두드러졌습니다.
당시 위험에 대한 Bitwarden의 대응은 icloud(.)com 또는 apple(.)com과 같은 합법적인 사용 시나리오를 제공하기 위해 iframe 자동 채우기 기능을 계속 사용할 수 있어야 하지만 기본적으로 계속 비활성화된다는 것이었습니다.
기능을 활성화하려는 사용자는 확장 메뉴에서 옵션을 활성화할 때 발생할 수 있는 위험에 대한 시각적 경고를 받게 됩니다.
Bitwarden 팀은 또 다른 안전 계층을 추가하여 원본 도메인의 신뢰할 수 있는 사이트 및 하위 도메인에서만 iframe 자동 채우기를 허용할 것이라고 발표
과거의 보안 문제에서 얻은 교훈을 통합하여 사용자가 피싱 행위자에게 민감한 데이터를 잃을 위험 없이 로그인 자격 증명을 입력할 수 있도록 하는 시스템을 도입
특히 다음과 같은 보호 장치가 자동 채우기 시스템의 보안을 보장
Bitwarden은 사용자가 양식 필드를 선택할 때만 자격 증명을 채워 사용자 인식 없이 악성 웹사이트나 iframe에서 자격 증명이 자동으로 채워지는 위험을 완화
사용자는 로그인 정보를 비밀번호로 보호하여 자동 완성을 사용할 때 보안을 강화할 수 있음
iframe 및 하위 도메인과 관련된 보안 격차를 식별하고 해결하기 위해 광범위한 타사 침투 테스트가 수행
사용자 경험 측면에서 새로운 인라인 자동 채우기 기능은 메뉴를 다른 모든 표시 요소 위에 유지하고 페이지 크기와 스크롤 위치에 따라 위치를 변경하고 키보드 탐색을 허용함으로써 자동 채우기를 쉬운 프로세스로 유지하도록 설계되었으며 사용자가 확장 프로그램에 로그인한 경우에만 결과를 표시합니다.
기본적으로 이 기능은 꺼져 있지만, 사용자는 설정->자동 완성에 있는 Bitwarden(비트워든)의 확장 아이콘에서 해당 기능을 활성화할 수 있으며 여기에서 양식 필드에 자동 채우기 메뉴 표시 드롭다운 옵션을 설정할 수 있습니다.
충돌을 방지하려면 Bitwarden 확장 프로그램에서 자동 완성 기능이 활성화된 경우 웹 브라우저에서 자동 완성 기능을 끄는 것이 좋습니다.
비밀번호 관리자는 키보드 단축키, 전용 컨텍스트 메뉴, 페이지 로드 시 자동 채우기, 수동 자동 채우기 등 다양한 자동 채우기 옵션을 제공
사용자는 Bitwarden이 자동 완성 옵션을 제공하기를 원하는 신뢰할 수 있는 URL에 대한 특정 매개변수를 설정할 수도 있습니다.
해당 비트워든을 사용을 하고 계시는 분들은 해당 기능을 사용해 보시는 것도 좋은 것 같습니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 파이어폭스 에서 탭 미리보기를 활성화하는 방법 (0) | 2024.03.06 |
|---|---|
| 락빗 랜섬웨어(Lockbit Ransomware) 랜섬웨어 복구 도구 사용방법 (0) | 2024.03.05 |
| 북한 해킹 단체 APT37 Reaper(리퍼)에서 만든 악성코드-(안보칼럼) 반국가세력에 안보기관이 무기력해서는 안된다.zip(2024.02.22) (0) | 2024.03.04 |
| 윈도우 11 2024.2 월 보안 업데이트 0x800F0922 오류 설치 중지 중 (0) | 2024.03.01 |
| 입사 지원서로 위장을 하고 있는 록빗(LockBit) 랜섬웨어-####입사지원서_230925 항상 최선을 다하는 모습을 보이겠습니다 잘부탁드립니다.exe(2023.9.26) (0) | 2024.02.27 |
| 윈도우 11 버전 23H2는 이전 시스템에 자동으로 설치 (0) | 2024.02.26 |
| 애플 제로클릭 바로가기 보안 취약점 해결 및 취약점 정보 공개 (0) | 2024.02.24 |
| 파이어폭스 123.0 보안 업데이트 및 손상된 사이트 보고 도구 추가 (0) | 2024.02.23 |
