macOS 上の 1Password の優れた資産の 1 つは、プラットフォーム (および iOS) 上で最も人気のあるパスワード マネージャーと考えられますが、アプリケーションによってパスワードが登録されている Web サイトに自動的にログインできることです。これにより、時間の経過とともに多くの機械的作業が節約されます。
しかし、何かが変わりました。 1Password がこの自動ログインを行うには、仮想的な「ENTER キーを押す」を macOS に送信できる必要があります。そして、macOS Mojave は、セキュリティ上の理由から、 1Password がまさにそれを行うことを可能にしていたシステム コンポーネントを無効にしました。
自動ログインはフィッシングに対して脆弱になる可能性があります
1Password の責任者と同じ人が、 公式ブログを通じてこの変更を確認しました。その中で、たとえそうであっても、ENTER キーを使って自動的にログインすることを自動化すると問題が発生する可能性があるため、この変更は全員の利益のためであると彼らは断言しています。
例: 銀行の Web サイトに自動的にログインする代わりに、銀行をモデルにしたフィッシングWeb サイトでログインしていましたが、1Password ですらその欺瞞に気づきませんでした。私たちは、権限のない人に(回避することができずに)資格情報を自動的に渡してしまうことになります。それでも、これらの悪意のある Web サイトは、資格情報が送信されなくても読み取ることができると主張するセキュリティ専門家がいます。
「1Password が自動的にパスワードを送信する場合、パスワードが正規のパスワード フィールドに入力されているのか、それとも悪意のある Web サイトによって作成されたものなのかを知る方法はありません。」 – 実際に送信する必要はなく、悪意のあるサイトは入力値の属性httpsを読み取ることができます。 https://t.co/6I3Apaf3HN
— タル・ベレズニツキー (@ketacode) 2018 年 10 月 12 日
悪いビジネスですよね?いつものように、どれだけ多くのセキュリティ ツールをインストールしても、攻撃を検出する私たち自身の直感と能力が常に私たちが持つ最後の防御であることを皆さんに思い出していただく必要があります。