Proč je automatické vyplňování pohodlné, ale ne vždy bezpečné
Automatické vyplňování formulářů patří mezi funkce, které uživatelům šetří čas. Prohlížeč si zapamatuje jméno, adresu, e-mail, telefon, platební kartu nebo přihlašovací údaje a při příští návštěvě je nabídne nebo doplní sám. Pro běžné nákupy a opakované registrace jde o praktickou pomoc. Jakmile ale jde o citlivé údaje, stejná funkce se může změnit v bezpečnostní slabinu.
Riziko není jen teoretické. Pokud někdo získá přístup k vašemu zařízení, může se k uloženým údajům dostat během několika vteřin. U sdíleného počítače, služebního notebooku nebo zařízení v domácnosti, které používá více lidí, se navíc zvyšuje šance na nechtěné odhalení dat. U citlivých formulářů, jako jsou bankovní přístupy, zdravotní údaje, daňové informace nebo přihlášení do administrace webu, je proto vhodné zvážit automatické vyplňování vypnout.
Podle bezpečnostních doporučení bývá nejslabším článkem často člověk a jeho návyky. Právě proto se vyplatí nastavit prohlížeč tak, aby u důležitých údajů neukládal více, než je nutné. Komfort zůstane zachován u běžných formulářů, ale citlivá data budete mít pod větší kontrolou.
Jaká data prohlížeč ukládá a kde vzniká problém
Moderní prohlížeče umí ukládat několik typů informací. Nejčastěji jde o:
- přihlašovací údaje – uživatelská jména a hesla,
- platební údaje – číslo karty, expiraci a jméno držitele,
- osobní údaje – adresa, telefon, e-mail, datum narození,
- formulářová pole – poznámky, interní identifikátory, čísla objednávek nebo jiné vstupy.
Problém nastává ve chvíli, kdy se tyto údaje zobrazí na obrazovce bez dalšího ověření. Stačí otevřený notebook na stole, krátký přístup kolegy, člen rodiny nebo malware, který čte uložené položky v prohlížeči. U některých formulářů navíc autocomplete vyplní data i do polí, kde to uživatel nečeká, například do pole „nové heslo“, „ověření identity“ nebo interního pole v administraci webu.
Bezpečnostní experti dlouhodobě upozorňují, že ukládání citlivých údajů do prohlížeče sice zvyšuje pohodlí, ale zároveň rozšiřuje útočnou plochu. Největší problém není prolomení šifrování, ale okamžik, kdy je zařízení odemčené a data jsou připravena k použití. V praxi jde o velmi častý scénář.
Kdy automatické vyplňování vypnout okamžitě
Ne ve všech případech je nutné funkci vypnout úplně. U citlivých údajů ale platí jednoduché pravidlo: čím vyšší dopad při zneužití, tím menší tolerance k automatickému ukládání. Vypnout nebo výrazně omezit autocomplete byste měli zejména v těchto situacích:
- na sdílených zařízeních – rodinný počítač, firemní notebook, veřejný terminál,
- při práci s bankovnictvím – přihlášení, potvrzování plateb, správa účtů,
- u zdravotních a právních údajů – formuláře s citlivými osobními daty,
- v administraci webu – CMS, e-shop, CRM, cloudové služby,
- u hesel a přístupových tokenů – zejména pokud je zařízení používáno více lidmi,
- při vyplňování daňových nebo firemních dokumentů – identifikátory, rodná čísla, IČO, čísla smluv.
Praktický příklad: pokud se přihlašujete do internetového bankovnictví z notebooku, který občas používají i další členové domácnosti, uložené přihlašovací údaje mohou být zobrazeny v nabídce prohlížeče. U některých formulářů stačí kliknout do pole a data se nabídnou okamžitě. To je pohodlné, ale pro citlivé účty zbytečné riziko.
Jak vypnout automatické vyplňování v nejpoužívanějších prohlížečích
Postup se liší podle prohlížeče, ale ve všech případech jde o několik kliknutí. Doporučení zní: vypněte ukládání přihlašovacích a platebních údajů, případně i automatické doplňování adres a dalších osobních informací, pokud je nepotřebujete.
Google Chrome
V Chrome otevřete Nastavení a přejděte do sekce Automatické vyplňování a hesla. Zde můžete samostatně vypnout ukládání hesel, platebních metod i adres a dalších údajů. Pokud chcete jít dál, zkontrolujte i nabídku Správce hesel Google a smažte uložené citlivé položky, které už nepoužíváte.
Mozilla Firefox
Ve Firefoxu otevřete Nastavení a sekci Soukromí a zabezpečení. Zde lze vypnout ukládání přihlašovacích údajů, vyplňování formulářů a u platebních údajů záleží na verzi prohlížeče a doplňcích. Firefox je obecně dobře nastavitelný, takže se vyplatí projít i uložená data v části správce hesel.
Microsoft Edge
V Edge najdete volby v Nastavení pod sekcí Profily a následně Hesla nebo Platební informace. Doporučuje se vypnout nejen ukládání, ale i automatické vyplňování údajů u účtů, které nejsou běžně používané. U firemních zařízení je vhodné nastavit přísnější zásady přes správu zařízení.
Safari
Na macOS i iPhonu otevřete Nastavení Safari a v části Automatické vyplňování vypněte položky, které nechcete používat. U Apple zařízení bývá automatické vyplňování propojené s klíčenkou iCloud Keychain, takže je vhodné zkontrolovat i uložená hesla a platební karty v systému.
Jaké jsou reálné scénáře zneužití
V praxi nejde jen o hackery. Častější jsou jednodušší situace. Někdo vám na chvíli půjčí počítač, prohlížeč nabídne uložený e-mail a adresu, a citlivé údaje jsou během vteřiny viditelné. Nebo otevřete administraci webu na sdíleném notebooku a po kliknutí do pole se automaticky nabídne přihlašovací jméno i heslo.
Další scénář se týká malwaru a rozšíření prohlížeče. Ne všechna rozšíření jsou škodlivá, ale i běžný doplněk může mít zbytečně široká oprávnění. Pokud má přístup k datům formulářů, může s nimi pracovat nad rámec toho, co uživatel očekává. U firemních účtů a e-shopů to může znamenat únik přístupů, objednávek nebo zákaznických dat.
Velmi podceňovaný je i problém „autofill phishingu“. Útočník připraví stránku, která se tváří jako legitimní formulář, a prohlížeč do ní vyplní uložené údaje automaticky. Pokud uživatel nezkontroluje adresu webu, může citlivé informace odeslat na cizí server. Proto je vypnutí automatického doplňování u citlivých údajů důležité i z pohledu obrany proti podvodným stránkám.
Co nastavit navíc, aby byla data skutečně v bezpečí
Samotné vypnutí autocomplete je jen jedna vrstva ochrany. Aby mělo smysl, je dobré přidat další opatření. Praktický minimální balíček vypadá takto:
- používejte správce hesel s hlavním heslem nebo biometrikou, ne jen ukládání v prohlížeči,
- zapněte dvoufaktorové ověření u e-mailu, banky, sociálních sítí i administrace webu,
- pravidelně kontrolujte uložené údaje a mažte staré karty, adresy a neplatné účty,
- oddělte pracovní a osobní profily v prohlížeči,
- uzamykat zařízení při odchodu od stolu, i když jen na minutu,
- aktualizujte prohlížeč i systém, protože bezpečnostní záplaty řeší i zranitelnosti kolem formulářů a rozšíření.
Pro firmy a správce webů je navíc vhodné nastavit formuláře tak, aby citlivá pole měla co nejmenší závislost na automatickém vyplňování. U přihlašovacích a platebních formulářů se doporučuje používat správné HTML atributy, bezpečnostní hlavičky a kontrolu chování na různých zařízeních. Uživatelé tak mají menší šanci, že jim prohlížeč nabídne něco, co nemá.
Pokud pracujete s daty denně, vyplatí se omezit pohodlí tam, kde by případná chyba bolela nejvíc. Automatické vyplňování je užitečný nástroj, ale u citlivých údajů by mělo fungovat jen tehdy, když máte jistotu, že zařízení, účet i prostředí jsou pod kontrolou.