اکثر مرورگرها دارای یک مدیر گذرواژهی داخلی هستند. مدیر گذرواژه ابزاری جهت ذخیرهسازی اطلاعات ورود در یک پایگاه داده و پرکردن فرمها یا ورود خودکار به سایتها با استفاده از اطلاعات موجود در همان پایگاه داده است.
کاربرانی که قابلیت بیشتری میخواهند بر مدیران گذرواژه مانند LastPass، KeePass و DashLane تکیه میکنند. این مدیران گذرواژه قابلیتهایی را اضافه میکنند یا ممکن است به عنوان افزونههای مرورگر یا برنامههای میزکار نصب شوند.
تحقیقات مرکز Priceton نشان میدهد ردیابهای وبی که بهتازگی کشف شدهاند برای ردیابی کاربران از مدیران گذرواژه سوءاستفاده میکنند.
اسکریپتهای ردیابی از ضعف مدیران گذرواژه سوءاستفاده میکنند. اتفاقی که میافتد به شرح زیر است:
- کاربر از یک وبسایت بازدید میکند، یک حساب کاربری ثبت میکند و اطلاعات را درمدیرگذرواژه ذخیره میسازد.
- اسکریپت ردیابی در پایگاههای وب شخص ثالث قرار داده شده و از طریق وبسایت اصلی اجرا میشود. وقتی کاربری از آن سایت بازدید میکند، فرمهای ورود به سایت به صورت مخفیانه توسط اسکریپت ردیابی، در سایت تزریق میشوند.
- اگر سایت مطابقی در مدیر گذرواژه یافت شد، مدیر گذرواژهی مرورگر اطلاعات را در آن پر خواهد کرد.
- اسکریپت ردیابی نام کاربری را شناسایی، آن را درهمسازی (hash) میکند و برای ردیابی کاربر به کارگزار شخص ثالث ارسال میکند.
- 7