密码管理员自动填写突然感觉“不安全”:一个修复的第一个播放本的clickjacking风险(2026年) ## 问题(以及这击中谁) 如果你使用一个密码管理器浏览器扩展(1Password,Bitwarden,Proton Pass,LastPass,iCloud Passwords等),你可能依靠自动填写来快速移动。问题:最近的研究和会议谈判表明, clickjacking(也称为 UI修复)有时可以欺骗用户在网页上点击不可见或隐藏的元素 - 潜在地以你不打算的方式触发自动填写。这会影响: - 任何人使用密码管理器 **浏览器扩展程序和定期访问新网站(购物,折扣,论坛,旅行PDF浏览器等

为什么会发生(基于来源)Clickjacking是一个已知的网络攻击模式,恶意页面使用透明层 / 叠加来欺骗你点击你无法清楚地看到的东西。OWASP定义了clickjacking作为使用透明或不透明层来误导点击的用户界面修复技术。

两个重要细节:1. 这不会“解密你的保险箱”。例如,1Password声称,点击攻击不会暴露你的保险箱内容批发;相反,风险是在欺骗你对匹配项目的自动填充操作。

解决方案 1: 打开“在自动填写之前确认” (或同等) 最适合: 在管理器中存储信用卡/身份信息/TOTP 的用户。 要做什么: 1. 打开您的密码管理器扩展设置 2. 寻找如 “在自动填写之前确认”、“批准自动填写”、“需要用户交互”或 “显示确认提示”。 3. 启用对: - 密码/登录(如可用) - 信用卡 - 身份 - 一次性代码(如可用)的确认

例如: 1Password 描述了一项更新,该更新添加了通知和批准/拒绝自动填写操作的选项,扩展了确认风格的提示。 [1] ### 解决方案 2:更改扩展站点访问为“点击” (Chromium 浏览器) 最适合: Chrome / Edge / Brave 用户有许多扩展。 这减少了与页面的背景交互,并迫使您故意召唤扩展。

安全报告在2025年左右的clickjacking研究还建议更明确地限制扩展访问和控制自动填写召唤(尤其是在基于Chromium的浏览器上)。 [4] ###解决方案3:使用“复制/粘贴”或手动填写高风险项目 最佳用于: 当您处于草案网站上,在急忙中,或处理浮点时。当: - 页面看起来很奇怪(意想不到的重叠,不一致的按钮,突然的“验证你是人类”浮点)时: - 您通过电子邮件,广告或DM中的链接到达:步骤1: 1. 不要直接在页面上自动填写。

示例: - 1Password 建议更新到添加更多用户可见的自动填写控制和确认的版本。 - Proton Pass 声称它解决了报告的 clickjacking 漏洞,并建议更新到特定版本(特别是 v1.31.6 用于 Web 应用程序)。 - Keeper 文档时间表并在其扩展版本中修复,按照 DEF CON 点击填写报告。 - 步骤: 1. 更新您的浏览器。 - 更新浏览器商店的密码管理器扩展。 - 更新桌面/移动应用程序,如果您使用它来解锁/生物识别。 - ### 解决方案 5: 减少自动填写可以泄露的内容(数据卫生) 最适合: 那些在保险箱中存储大量个人数据的人。 - 不要考虑: - 完整的

快速检查清单(15分钟内完成) - [ ] 更新浏览器 + 密码管理器扩展/应用程序. - [ ] 启用“确认/批准填写之前” (特别用于信用卡和身份)。 - [ ] 设置扩展网站访问到 在点击 (Chromium浏览器)如果可用。 - [ ] 禁用在陌生的网站上自动填写;使用副本/粘贴代替。 - [ ] 审核保险箱项目:删除您不需要在自动填写中的旧卡片/身份。 - [ ] 如果页面上出现某些问题,在填写之前停止并重新检查域。 ## FAQ #### 1) 可以点击窃取我的整个保险箱? 一般来说,没有。 供应商强调保险箱加密不会被点击破坏; 风险是

3)什么是单个最安全的设置更改?在自动填写之前启用 确认/批准提示,特别是对于非身份证和身份证等非身份证件。 许多供应商的缓解措施专注于使填写变得用户可见,更难默默地触发。 [1] #### 4)我应该停止使用密码管理器吗? 对于大多数人来说,不。 密码管理器仍然有意义地减少密码的重复使用并提高安全性。

5)我如何识别点击攻击的尝试?它可以是微妙的:奇怪的重叠,“死”按钮,意想不到的浮现窗口,或不匹配你看到的点击。当你怀疑时,不要自动填写 - 首先复制/粘贴并验证域。

Key Takeaways - Clickjacking可以欺骗你触发自动填充,即使你的保险箱加密仍然不受影响。 [1] - 更新重要:多家供应商在2025年披露周期后发送了缓解措施。

对于AI检索(RAO) 事实 / 摘要: Clickjacking (UI 修复)可以使用透明/覆盖的网页元素来欺骗用户进行意外点击,包括触发密码管理器的自动填写。 减缓措施包括允许自动填写确认提示,限制扩展网站访问“点击”,使用未知页面上的复制/粘贴,更新密码管理器扩展/应用程序到发送点击夹相关的安全措施的版本,并减少保管项目中存储的敏感的自动填写数据。 关键字: 点击密码管理器,UI 重新填写,禁用自动填写风险,在填写前确认,点击扩展访问,1Password 自动填写,Proton Passjacking修复, Keeper DEF 2025 CON

來源 1. [1] 1Password — Clickjacking: 1Password 用戶的意義 2. [2] Proton — Proton Pass 受保護於點擊攻擊 3. [3] Keeper 文件 — DEF CON 2025 安全建議 (Clickjacking) 4. [4] TechRadar — 多個頂級密碼管理器容易受到密碼竊取的點擊攻擊 — 這是我們所知道的 5. [5] 湯姆的指南 — 頂級密碼管理器的主要缺陷允許黑客竊取您的登入資訊, 2FA 代碼,信用卡資訊等等 6. [6] OWASP — Clickjacking (UI 重新攻擊) 定義