图片：Biljana Jovanovic/Pixabay

密码管理器长期以来一直提供自动填充功能Service或应用程序，在保存的网站上使用您的用户ID和密码自动填写登录表格。 但该功能存在风险热门服务Bitwarden，危险性很高，你应避免全部自动填充。

一般来说，安全专家建议关闭最主动的 自动填充的版本，在该版本中，您的凭据会在保存的网站上自动填充。如果是websitee被泄露，恶意行为者可以在您视觉确认页面之前捕获您的登录信息 看起来很正常。

但是作为安全公司Flashpoint。io在一篇博客文章中详细介绍了这一点上周，Bitwarden的autofill比其他服务有更深的漏洞。在使用iframes的网站上——其中页面加载H来自不同网页的TML元素——外部网站上托管的登录表单仍在填写中以及保存的网站的用户ID和密码信息。如果这些外部HTML元素中的任何一个成为compr

这个p宽容并非偶然，而是设计：在公司的，哪个Bitwarden于2018年底发布，其目标是鼓励更好地适应密码rd经理。该公司举了iCloud作为一个主要网站的例子，该网站仍然使用iframes来合作连接到apple.com进行登录。

无论您让Bitwarden预先填写登录表格或手动触发自动填充；闪点测试表明，使用自动填充都有同样的风险。Bitwarden也不会警告用户s当他们填写托管在不同页面或网站上的表单时，并免费进入子域网站的主干网。与此同时，其他密码管理器看起来更安全，因为它们仍然存在他们的自动填充政策更加严格。在Flashpoint对竞争对手的抽查中，他们只会自动填充d表示保存在vault条目中的站点，或者如果iframe拉入ext，则至少闪烁一个警告外部形式。

作为密码管理器用户，您可以采取两个主要步骤来保护自己不受此ki的影响漏洞的nd。（不，答案不是永远不要使用密码管理器。）

离开先发制人的aut关闭。好的服务和应用程序默认情况下会禁用这一功能——为了更好的安全性，请保持这种状态y.使用不会自动填充外部网站上托管的表单的服务或应用程序，或者至少不会我警告你，你就要这么做了。

如果你决定坚持使用Bitwarden，这是一个r可靠的服务和我们最喜欢的免费密码管理器，您还应该停止先发制人的自动填充。但你也应该采取这种预防措施：

只能在您可以使用的网站上使用手动触发的自动填充合理信任。例如，苹果公司应该有资源来防止HTML ele受损。（如果他们不能保护用户免受这种攻击，每个人都会遇到更大的麻烦）

不幸的是，Bitwarden用户似乎无法绕过这种自动填充问题py并将登录信息从密码管理器粘贴到表单中。如果外部托管的表单是com承诺，它妥协了。因此，无论你如何输入登录详细信息，你都不知道它是否“这是一个内部或外部托管的表单，这就是问题所在。

至于被破坏的官方网站，n任何人都无法防范这种情况。这就是为什么每个站点的随机密码，服务和应用程序是如此重要——它们将损害限制在一个地方。不管你喜不喜欢，跟踪数十个（如果不是数百个）凭据的最佳方法是使用密码管理器。选择明智地使用一个，你应该避免大多数麻烦。

作者：Alaina Yee，高级编辑