Можно ли вставлять текст в поле пароля?

Question

Что вы, веб-разработчики, думаете? Должны ли мы отключить вставку в поля маскированных паролей в наших веб-приложениях или нет. Может ли это быть дырой в безопасности или вызвать путаницу или нежелательные результаты? Вероятно, это вопрос пользовательского опыта, а не программирования.

Answer 1

Вставка отлично ОК на самом деле отключение иногда может вызвать большие проблемы. Большинство пользователей используют keepass или аналогичные приложения для хранения надежных паролей.

Если вы заставляете людей печатать каждый раз, это может заставить их выбирать более слабые пароли.

Answer 2

Оклейка в порядке, в ИМХО и ожидается. Копирование , однако, обычно запрещено по уважительной причине. Это ожидается и сейчас. Вы действительно просто хотите ознакомиться с тем, что знакомо большинству пользователей, если только у вас нет веских причин не делать этого.

Answer 3

Нет, не отключать вставку.

Некоторые приложения для безопасного управления паролями включают поддержку для помещения их сохраненных паролей непосредственно в буфер C & P, даже не отображая его на экране, и отключение вставки сделает эти приложения менее полезными.

Answer 4

Разрешить вставку, но убедитесь, что пользователь отмечает, что все, что он вставил, не соответствует максимальной длине. Я использую KeePass, который автоматически генерирует 10-символьные пароли для меня, это беспорядок, когда мой пароль не работает, потому что при регистрации использовались только первые 8 символов или подобное.

Также убедитесь, что поля пароля для входа в систему имеют ту же максимальную длину, что и поля пароля для регистрации.

Answer 5

Вставка может быть плохой, только если это приведет к сбою запроса к вашей базе данных. Помимо этого, у всех остальных есть вменяемые причины для этого. Удаленный рабочий стол бесит, когда я не могу вставить пароль, потому что я использую KeePass для управления сложными паролями. Что я оставляю, так это оставляю пароль в виде простого текста на экране, пока я его набираю.

Answer 6

Нет, я бы не стал. Я часто вставляю пароли, например, случайно сгенерированные, для сброса. Я не думаю, что это будет представлять угрозу безопасности для веб-приложения, только то, что риск будет унаследован пользователем.