Является ли опция «Показать пароль» в форме входа в систему безопасной?

Веб-сайт, который я использую изредка, недавно обновил и добавил флажок «Показать» рядом с полем пароля в своей форме входа. Я понимаю, почему некоторые ppl хотят их, когда они на самом деле вводят свой пароль, но это похоже на дыру в безопасности, если вы используете менеджер паролей, который заполняет ваш пароль.

В моем случае пароль сохраняется в менеджере паролей Firefox, который, в свою очередь, защищен мастер-паролем **. Итак, да, кто-то, кто использует Firefox на моем компьютере временно, может автоматически войти на этот сайт автоматически, но я, по крайней мере, надеюсь, что они не смогут увидеть мой текущий пароль.

Однако с этим новым флажком они могут: я посетил сайт, перешел к форме входа в систему, которую Firefox предварительно заполнил моим паролем (запутанный как серия точек). Затем я нажал «Показать», и, конечно, мой пароль был отображен в виде простого текста.

Наконец, если это проблема безопасности, то какой краткий способ определить проблему для веб-администратора сайта? Я сам не веб-дизайнер /админ.

** Ради этого потока, давайте не будем обсуждать, является ли менеджер паролей Firefox безопасным способом защиты паролей. Я использую его только на своих домашних и рабочих компьютерах, которые редко используются другими. Кроме того, даже если вы думаете, что я должен использовать более надежный менеджер, такой как LastPass, я думаю, что подобная уязвимость будет существовать, если кто-то будет сидеть на вашем компьютере во время входа в LastPass.

5 голосов | спросил SSilk 12 +03002016-10-12T23:30:10+03:00312016bEurope/MoscowWed, 12 Oct 2016 23:30:10 +0300 2016, 23:30:10

3 ответа


3

Не существует неотъемлемой проблемы безопасности при разоблачении поля пароля для каждого пользователя. В функциональной работе сайта любой метод, который может получить доступ к полям формы (например, сообщения на стороне сервера или javascript), по-прежнему сможет без каких-либо усилий получить доступ к данным из маскированного поля. Маскировка пароля выполняет две функции. Во-первых, это не позволяет кому-то просто взглянуть через плечо пользователя, чтобы узнать, что у них есть, и это тоже немного театра безопасности, заставляя пользователя чувствовать, что их пароль защищен независимо от того, защищен ли он или нет.

Наличие флажка, который позволит вам разоблачить пароль, не является особенно проблемой безопасности, поскольку это позволит конечному пользователю решить, хотят ли они видеть введенный пароль и принимать решение о том, если они находятся в ситуации, когда они считают безопасным, чтобы пароль был видимым на странице или нет.

Безопасность самого пароля в большей степени зависит от того, как пользователь хранит пароль (как нигде не записывается), и если соединение с браузером на сервере безопасно (HTTPS), то тип поля, используемого для пользователь вводит пароль.

ответил Chris Rutherfurd 13 +03002016-10-13T01:50:49+03:00312016bEurope/MoscowThu, 13 Oct 2016 01:50:49 +0300 2016, 01:50:49
4

Помимо очевидной проблемы с безопасностью, когда кто-то еще может физически видеть, какой пароль вы вводите, что пользователь будет знать в любом случае, есть несколько проблем безопасности, которые могут возникнуть в связи с тем, как это реализовано и что (надежное) программное обеспечение находится в системе пользователей, что может потенциально подвергнуть пароль сторонним приложениям /инструментам без необходимости.

Если параметр «показать пароль» просто изменяет type входного элемента на text, тогда в элементе будут активны все плагины браузера (или сторонние приложения), которые проверяют правописание текстовых полей. В Google Chrome это может привести к отправке текста в Google, чтобы «Спросить Google о предложениях».

У меня также установлено приложение стороннего словаря, которое будет искать текст под курсором мыши. Это не работает в полях password, но на text.

Текстовые поля также можно копировать (возможно, сторонним приложением), поля пароля не являются.

Формы входа не должны быть autocomplete включены в любом случае, но изменение type от INPUT до text потенциально разрешает сохранение пароля в базе данных автозаполнения браузера (которая не обязательно безопасно), если только INPUT не возвращается обратно в password перед .

Альтернативой изменению type password - это «показать пароль» в элементе, отличном от формы. Это может быть «безопаснее».

Подводя итог ... , это должно быть безопасно, но я думаю, что есть потенциальные риски, которые конечный пользователь может не знать. Но конечный пользователь должен сделать выбор «показать пароль».

ответил MrWhite 14 +03002016-10-14T00:42:47+03:00312016bEurope/MoscowFri, 14 Oct 2016 00:42:47 +0300 2016, 00:42:47
4

Если мы игнорируем все остальное, о чем вы говорите (например, общий компьютер, сохраненные паролем пароли и т. д.), функция «показать» паролем сама по себе не является угрозой безопасности. Это для удобства и «обычного пользователя». Ничто не мешает кому-либо использовать сборку в инспекторе браузера и изменить его на тип ввода textbox из password. Он выполняет ту же задачу (показывая пароль), но без необходимости «изменять» HTML. Я делаю это все время на сайтах, у которых нет этой функции. Текстовое поле типа password только маскирует буквы в пользовательском интерфейсе.

ответил Auzi 13 +03002016-10-13T00:37:52+03:00312016bEurope/MoscowThu, 13 Oct 2016 00:37:52 +0300 2016, 00:37:52

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132