Когда отключить функцию «сохранить пароль» в форме входа? - PullRequest
Новая
       13

Когда отключить функцию «сохранить пароль» в форме входа?

3 голосов
/ 12 марта 2009

У меня есть общедоступный веб-сайт, который используется для управления оборудованием бизнес-инфраструктуры для моих клиентов. Нарушение безопасности на этом сайте может привести к дорогостоящим проблемам для клиентов.

Ряд различных веб-сайтов - в основном банки, здравоохранение и правительство - отключают диалоговое окно «Сохранить пароль» в Firefox, IE и других браузерах, ссылаясь на проблемы безопасности. Я говорю о поле / панели, которое появляется после ввода данных для входа в систему, поэтому браузер может автоматически заполнить поля имени пользователя / пароля для вас при следующем посещении этого сайта.

Мой вопрос не , как отключить, потому что на него дан ответ в функции Отключить браузер "Сохранить пароль" вопрос.

То, что я хочу знать, это:

  • В каких случаях абсолютно необходимо отключить функцию «сохранить пароль»? Существуют ли такие случаи?
  • Эта техника действительно обеспечивает дополнительную безопасность? Другими словами, не найдут ли люди способ утечки своих паролей, несмотря на все ваши усилия?
  • Жалуются ли пользователи на удаление функции "сохранить пароль"?
  • Есть еще какие-нибудь мысли о том, когда отключать функцию «сохранить пароль»?

Ответы [ 8 ]

10 голосов
/ 12 марта 2009

Я жалуюсь на это ;-) Я просто думал об этом сегодня, потому что мой сайт онлайн-банкинга отключает автозаполнение пароля, и это действительно раздражает.

Хотя это и не большинство пользователей компьютеров, есть множество людей, которые знают, как безопасно управлять своими паролями, и для них действительно раздражает, когда веб-сайты отключают автозаполнение поля паролей, потому что это означает, что им нужно что-то вроде записать пароль или выбрать простой, который легко запомнить - ни один из них не делает их счастливыми, потому что, как я уже сказал, это люди, которые серьезно относятся к защите пароля. Использование менеджера паролей в браузере - это лучший компромисс между нашей безопасностью и удобством. И раздражает то, что, если веб-сайт пытается отключить автозаполнение, нет простого способа заставить некоторые браузеры игнорировать это. (В Firefox требуется взломать какой-нибудь файл Javascript)

Это также связано с тем, что Джоэл однажды написал о том, как пользователи, хм, люди любят контролировать свою среду. Они гораздо реже используют (или, по крайней мере, любят) программу или веб-сайт, который решает, что им нельзя доверять с помощью менеджера паролей.

5 голосов
/ 12 марта 2009

Вопрос в том, в каких случаях помогает , когда вы не разрешаете сохранять пароли

  • Кто-то врывается в ваш дом, получает доступ к вашему ПК, посещает сайт и теперь имеет доступ - хм, как-то абстрактная идея
  • Вы теряете свой ноутбук / нетбук, кто-то находит его, взламывает ваш пароль (надеюсь, у вас есть такой в ​​вашей книге), просматривает сайт и имеет доступ

И то, и другое случайно. Кто-то, кто хочет получить доступ к учетной записи, будет использовать программы-шпионы, такие как кейлоггер. Но когда на вашем компьютере есть клавиатурный шпион, отключение функции сохранения пароля ничего не поможет.

Жалуются ли пользователи на удаление функции "сохранить пароль"?

Да, абсолютно. Пользователям никогда не нравится, когда их господствуют.

2 голосов
/ 12 марта 2009

Вам необходимо провести базовую оценку риска:

  • Насколько критично ваше приложение?

Если это приложение для онлайн-банкинга, которое рискует потерять свои инвестиции из-за того, что они использовали общедоступный компьютер или прозвище своего ноутбука, это не очень хорошая идея, поэтому отключите его.

Безопасность против юзабилити - нелегкая битва, вам нужно пойти на некоторые жертвы. Но также, если у вас есть двухфакторная аутентификация, вы не можете отключить ее, потому что одного этого пароля будет недостаточно для перевода денег или выполнения других хитрых вещей.

  • Как часто используется?

Если это веб-почта или услуга типа twitter , просто включите ее. Иначе ты разозлишь столько людей.

Мне не нравятся веб-сайты, которые отключают его, потому что я знаю, что сохранить, что не сохранить, и риск, на который я иду. Однако обычные пользователи не будут, поэтому вы должны принять трудное решение для них .

Также существуют и другие неочевидные риски, которые необходимо учитывать:

  • публично используемые компьютеры
  • Старые жесткие диски на Ebay
  • После эксплуатации все злоумышленники сначала посмотрят эти данные, потому что они знают, что это хорошая добыча.
  • Были обнаружены атаки / слабости на стороне клиента, направленные только на автоматически заполненные пароли и имена пользователей.
2 голосов
/ 12 марта 2009

1) «В каких случаях абсолютно необходимо отключить функцию« сохранить пароль »? Существуют ли такие случаи?»

Нет четко определенного общего правила как такового. Это полностью зависит от вида услуг, которые предоставляются пользователю, и их относительной важности. Например, на веб-сайтах банковских сетей эта функция отключена, тогда как обычный веб-сайт электронной почты или онлайновый дискуссионный форум предпочитают оставить функцию сохранения пароля включенной. Все зависит от того, что вы предлагаете пользователю, и его относительная важность.

2) "Действительно ли этот метод обеспечивает дополнительную безопасность? Другими словами, не найдут ли люди способ утечки своих паролей, несмотря на все ваши усилия?"

Да. Этот метод, по крайней мере, блокирует один из возможных способов скрытия пароля. Но это не гарантирует никакой скрытности пароля в любом смысле. От самых простых способов кражи паролей, до клавиатурных шпионов, которые фиксируют нажатия клавиш, даже до механизмов брутфорса или даже до фишинговых сайтов, которые напоминают ваш веб-сайт, маршруты кражи паролей все еще остаются открытыми. Вы просто блокируете один из способов.

3) Жалуются ли пользователи на удаление функции "сохранить пароль"?

Зависит от пользователя действительно. Те, кто понимает важность отключения функции сохранения пароля, не будут жаловаться на это. И те, кому просто лень каждый раз вводить учетные данные, не должны беспокоиться. В конце концов, безопасность пользователя - это конфиденциальность гораздо важнее, чем разочарование пользователя, потому что здесь мы имеем дело с важными данными и отключаем функцию сохранения пароля только для пользы пользователя.

4) Есть еще какие-нибудь мысли о том, когда отключать функцию «сохранить пароль»?

Это снова похоже на вопрос 1). Все зависит от важности и последствий / стоимости утраты пароля.

1 голос
/ 10 июня 2011

Все эти ответы о защите пользовательских данных. В настоящее время я работаю над сайтом, где конфиденциальные данные находятся на другой стороне - поставщик за определенную плату предоставляет доступ к этим данным и хочет убедиться, что никто, кроме платящих, не имеет к ним доступа.

Очевидно, что пользователи в этом случае могут быть не так осторожны, как если бы данные были их.

И поэтому мы пытаемся отключить функцию сохранения пароля.

1 голос
/ 19 августа 2010

Я только что натолкнулся на это с другого конца (нужно отключить функцию «сохранить пароль»), и для нас это проблема аудита. Некоторые системы аудита рассматривают это как проблему безопасности (человек A имеет определенные права на приложение [на основе веб-интерфейса], они сохраняют свои учетные данные в браузере, человек B попадает в приложение, используя учетную запись человека A, потому что человек A ушел со своего компьютера без блокировки).

Это не означает, что должны быть другие элементы управления (принудительная блокировка Windows и т. Д.), Но иногда существуют «веские» причины, по которым некоторые веб-сайты не позволяют сохранить ваш пароль.

1 голос
/ 12 марта 2009

Я бы никогда не отключил сохранение пароля. Вы так же можете увеличить риск, чтобы уменьшить его. Пример:

  1. Пользователь впервые заходит на ваш сайт и вручную вводит свой пароль
  2. Пользователь посещает вредоносный сайт, на котором устанавливается кейлоггер
  3. Пользователь снова заходит на ваш сайт, снова вводит пароль, кейлоггер отправляет пароль пользователя вору.

Если бы пользователь вместо этого сохранил свой пароль, ему не пришлось бы вводить его снова на шаге 3, и поэтому кейлоггер не мог быть использован для его кражи.

0 голосов
/ 12 марта 2009

Я знаю, что особенно в США банковская безопасность слаба. Банковские сайты не должны даже использовать защиту паролем, так как он совершенно не защищает даже от простых кейлоггеров.

...