Должно ли поле пароля очищаться, если Captcha ошибочно введен?

На экране регистрации есть 3 поля: E-mail, Пароль и Captcha.

Пользователь ввел действительный адрес электронной почты и пароль, но ввел неправильный Captcha.

Здесь отображается сообщение об ошибке, относящееся к неправильному полю Captcha, и Captcha сбрасывается.

Если значение в поле «Пароль» также будет сброшено на «пустое»?

12 голосов | спросил Aditya Durgude 2 Maypm16 2016, 13:21:20

4 ответа


13

Если вы очистите поле пароля, когда у вас есть ошибочный пароль, он также должен очистить поле пароля от неисправной CAPTCHA, и он не должен указывать, что это была ошибка CAPTCHA, в то время как остальные были действительны.

Почему?

В случае использования CAPTCHA - то есть вы ожидаете, что боты придут к вам в дверь, и вы хотите их отбросить - вы не должны позволять боту извлекать любую информацию из неудачных попыток входа в систему. Это особенно важно для случая, когда боты проверяют пароли, чтобы взломать учетные записи. Вы не хотите показывать, что пароль был прав.

В эти дни, когда люди вопиюще используют пароли, а серверы взломаются, те, которые получают доступ к спискам имен пользователей и паролей, затем загружают эти списки в боты и боты тестируют их на разных сайтах по всей сети.

Таким образом, даже если бот не сможет войти в систему из-за CAPTCHA, он все равно может сказать своему хакеру: «Эй, сайты A, B и C, похоже, работают с этими комбинациями имени пользователя и пароля». Затем хакер может вручную войти в систему и ввести правильный CAPTCHA.

ответил MichaelK 2 Maypm16 2016, 13:52:16
9

Нет, пожалуйста, не

Прежде всего, я попытаюсь изучить и протестировать, если мне понадобится captcha . И я имею в виду, тщательно протестируйте его. В то время как Captcha является очевидным улучшением безопасности, у них есть серьезные проблемы с точки зрения удобства использования. см. документы ниже:

Это всего лишь небольшая выборка, но было бы полезно прочитать их, чтобы вы поняли «за» и «против». Однако, если вы не хотите читать эти документы, я упрощу его: captchas чрезвычайно раздражают и тревожат, и они влияют на удобство использования и преобразования

Итак, что делать?

Конечно, вы можете использовать другие методы, такие как honeypots , но если вы решите, что хотите использовать captcha , вы должны знать, что добавляете трение для пользователя, независимо от того, нужна оно вам или нет, это объективный факт. Таким образом, добавление еще большего трения входит в область анти-шаблон .

Подумайте об этом:

  
    

Пользователь вводит пароль правильно. Пользователь вводит неверный код.

  
     

СБОЙ

     
    

Теперь вы удаляете проход, а пользователь вводит неверный пароль и исправляет     captcha

  
     

СБОЙ

     
    

Теперь пользователь понятия не имеет, что происходит не так, попробуйте другой проход

  
     

СБОЙ

     
    

Еще одна попытка с другим пропуском?

  
     

СБОЙ

В этот момент, если пользователь в отчаянии, он /она попросит пароль. В противном случае, он /она просто оставит ваш сайт навсегда. Обратите внимание, что это не случайный поток, а очень общий поток пользователей. Кроме того, если вы думаете с точки зрения безопасности ... ну, вы заставили пользователя ввести все свои пароли и варианты. Если это вас беспокоит, вы просто предоставили хакеру множество РЕАЛЬНЫХ паролей.

Короче

НЕ создавайте трения. Никогда. Просто используйте наименьшее трение, которое возможно в спецификациях, и всегда пытайтесь найти альтернативы. Таким образом, если пароль правильный, просто оставьте его и позвольте пользователю иметь дело с captcha . И снова: если ваша потребность в captcha действительно экстремальна (например, вам нужна большая защита) , найдите альтернативы

ответил Devin 2 Maypm16 2016, 21:23:03
3

Никогда не предоставляйте злоумышленнику какой-либо информации о своем единственном вопросе: «Какие учетные данные могут быть действительными?» Это проблема, сопоставимая с сообщением об ошибке, которое будет отображаться при неудачном входе в систему.

Вы не указываете такие вещи, как «Неверный пароль» или «Неверное имя пользователя». Используйте такие фразы, как «Неверные учетные данные» или «Неверная комбинация имени пользователя /пароля».

Завершение заполнения поля пароля, если оно правильно будет признано как возможный вектор атаки очень быстро. Ваш captach будет бесполезным, если вы дадите ботам способ проверить учетные данные, не используя его.

ответил Jonas Köritz 3 Maypm16 2016, 12:56:09
-2

В соответствии с моей точкой зрения, поля captcha и password не связаны друг с другом. Потому что captcha означает, что вы проверяете данные, введенные человеком или машиной (роботом).

Сначала решите, что ваш пароль для вашего пароля или captcha?

Если автомобиль, дающий ограничение, такой как пользователь, не может войти без правильной конвертации, тогда нет необходимости удалять поле пароля.

ответил Jasmin Javia 2 Maypm16 2016, 13:45:09

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132