Я не уверен, что вы собрали и каковы требования, но, как правило, я не считаю это серьезной проблемой безопасности. Давайте посмотрим на векторы атаки:
- Человек в середине атаки на текстовый трафик HTTP - изображение, особенно изображение, скрытое от OCR (стиль CAPTCHA), предотвратит эту атаку, а также просто использует HTTPS, как упоминалось ранее.
- Очистка экрана приложением удаленного рабочего стола - защита HTTPS не поможет, ни изображение, так как изображение на экране все равно должно быть прочитано человеком (злоумышленник может также обойти защиту вашего запутанного изображения от «человека в посередине », указав слушателю заархивировать изображение, а затем перейти к ним вручную) Если за скребком находится человек, у вас нет защиты.
- через ваше плечо подслушивает - если злоумышленник просто стоит за пользователем, то опять же - у вас нет защиты.
Обращаем ваше внимание, что если ваш пароль автоматически сгенерирован, то вы должны показать его пользователю. Один из способов, с помощью которого сайты пытаются смягчить угрозу, - это отправить пароль по электронной почте - при условии, что пользователь может убедиться, что он прочитал письмо, когда его никто не просматривает, в свое время. К сожалению, электронная почта даже не позволяет использовать шифрование для защиты передачи.
На мой взгляд, лучший способ - позволить пользователю ввести пароль (в поле обфускации пароля, как обычно это делается), а затем сохранить только хэш пароля, поэтому вам не нужно сохранять действительный пароль, предотвращая Вы из показа пользователю. Если вам нужно показать его пользователю (возможно, потому что вы его генерируете), то убедитесь, что вы используете HTTPS и просто покажите это - все фанфары просто усложняют реализацию, не давая никаких преимуществ для безопасности.