Perché le caselle di password vengono sempre cancellate quando non ci sono altri dati sensibili?

Non penso che si tratti di informazioni riservate o sensibili, ad esempio "le informazioni segrete sono mascherate e le informazioni sensibili non lo sono". (la distinzione è problematica, anche molti segreti devono essere condivisi).

Penso che le informazioni di cc e ssn non vengano oscurate per diversi motivi. Non sono un dato di fatto, ma ancora, eccone alcuni:

1. Fare ciò che fanno gli altri, non sorprende l'utente. Le password arrivavano molto prima dei moduli Web e erano già mascherate. Quindi, quando sono stati utilizzati nei moduli di accesso, sono stati anche mascherati. Quando il business e l'amministrazione online arrivavano, la tecnica precedente (moduli cartacei) richiedeva l'inserimento non mascherato di informazioni sensibili (ovviamente), quindi i moduli Web facevano la stessa scelta.

2. Sarebbe molto facile fare un errore e inserire un numero sbagliato se non hai visto cosa hai digitato. Nel caso di una password errata, questo è solo leggermente fastidioso e si ottiene un riscontro immediato; nel caso di altri dati sensibili errati, questo potrebbe avere ulteriori conseguenze che non sono immediatamente chiare (come una richiesta a un ufficio governativo negata a causa di un SSN sbagliato o un pagamento non in corso - sebbene nei casi cc e ssn , di solito viene coperto contro controllando se il checksum è corretto e fornendo un feedback immediato se non lo fosse)

3. Molte persone non conoscono il loro numero cc dalla memoria e lo copiano dalla carta di credito effettiva. Quindi il numero è lì per essere visto da un astante comunque; cancellare il campo di immissione non sarebbe di grande aiuto per proteggere il numero sul lato client e quindi non merita le ulteriori difficoltà causate da 2.

4. Impatto - Un numero cc rubato non ha necessariamente lo stesso impatto di una password rubata, specialmente se si considera che le informazioni rubate guardando da sopra la spalla verrebbero probabilmente rubate da persone che ti conoscono (colleghi a lavoro, familiari, compagni di classe ecc.) e vogliono la tua password per un motivo molto specifico che avrebbe conseguenze personali. OTOH, anche se fossero interessati al tuo numero cc, non avresti dovuto subire il danno finanziario perché probabilmente la società cc lo coprirà. Per lo stesso motivo, non ti dispiace lasciare che un cameriere o un commesso di negozio veda la tua carta di credito, anche se potrebbe copiarlo e venderlo a qualcun altro ...

Il numero 4 potrebbe non essere applicabile ad altri tipi di informazioni sensibili, tuttavia.

Questo perché abbiamo a che fare con due tipi di informazioni qui: informazioni sensibili vs informazioni segrete .

• Informazioni sensibili sono dati che hanno una certa importanza dal punto di vista della sicurezza / privacy e che potrebbero sicuramente causare alcuni problemi se caduti nelle mani sbagliate. Tuttavia, dati come il tuo SSN, numero di carta di credito, fotografia ecc. Non sono segreti: una terza parte avrà bisogno di accedervi, sia per elaborare un ordine che hai effettuato sia per confermare la tua identità.

• Informazioni segrete , d'altra parte, sono informazioni a cui nessuno avrà mai bisogno di avere accesso, per nessuna ragione. Nessuno dovrebbe aver bisogno della tua password per fare qualcosa, quindi questo campo di solito è mascherato.

Idealmente, vorresti che tutto fosse mascherato, ma ci sono problemi di usabilità da considerare se lo fai. Alla fine della giornata, dovrai sempre scendere a compromessi e utilizzare queste due categorie come filtro è solo un modo comune per farlo.

Ci sono molti problemi in corso nella sicurezza dei dati. Questo è uno di questi.

TL; DR: incolpare l'industria delle carte di credito.

La causa principale è il concetto errato che dando la identità stai anche concedendo la autorizzazione . Questa era la base orribile su cui sono state costruite le carte di credito, ed è il motivo per cui la situazione è così grave come lo è oggi.

La tua identità (numero di carta di credito, SSN, ecc.) non dovrebbe mai essere tenuta segreta, perché chi sei non è un segreto . Non puoi rimanere segreto da un commerciante online, perché devono spedirti le cose che acquisti. Non puoi rimanere segreto da qualsiasi commerciante con una carta di credito perché il commerciante vuole che la tua banca dia loro dei soldi. Non puoi mai rimanere segreto dall'uomo delle tasse. E tu non vuoi rimanere segreto dal tuo medico, che ha bisogno della tua storia medica per trattare i tuoi problemi.

Quando il credito è stato inventato, questo non era un grosso problema. Le persone si conoscevano e entrambe le parti si fidavano l'una dell'altra nella transazione. Ma il sistema è stato così incredibilmente facile da abusare che la frode è esplosa senza controllo.

Le transazioni con carta di credito sono estremamente redditizie. Nel disperato tentativo di impedire alle persone di usare le loro carte di credito insicure, il Payment Card Industry (PCI) ha spostato con successo la colpa ai commercianti, dicendo "non stanno mantenendo i numeri delle carte di credito al sicuro", mentre tiene lontano il fatto che il l'intero sistema è stato costruito su una premessa imperfetta di fiducia. (Attribuisco tutte le colpe al settore delle carte di credito per aver perpetuato questo pasticcio di sicurezza al fine di preservare i loro profitti).

La soluzione è separare la tua identità dalla tua autorizzazione. Le persone non devono avere paura di perdere la propria identità se l'identità è senza valore senza autorizzazione.

Ma come concedi l'autorizzazione quando c'è la possibilità di un intermediario non fidato? C'è un modo brutto e un buon modo. Il cattivo modo è la password. Dimostrando di conoscere un segreto, puoi autorizzare l'uso della tua identità. Ma le semplici password sono tanto problematiche quanto lo sono oggi i semplici numeri di carte di credito. Se comunichi il tuo segreto al commerciante che poi lo passa in banca, un uomo in mezzo ovunque lungo quella catena può copiare il tuo segreto e falsificare la tua autorizzazione.

L'unico buon modo per dare la tua autorizzazione in modo sicuro è usare challenge-response. Questo risolve l'intero problema, tranne per il fatto che noi umani non possiamo fare una vera sfida-risposta nelle nostre teste. Questo è stato brillantemente superato dall'introduzione di chip card e dei protocolli EMV. La carta fa tutto il duro lavoro di accettare la sfida e generare la risposta. Per maggiore sicurezza, la scheda può essere progettata per non generare una risposta valida senza PIN.

In questo mondo rosato, non solo non hai più bisogno di proteggere i numeri delle carte di credito, non devi proteggere la risposta perché è unica per la sfida.

Potremmo arrivare là, un giorno. Ma al momento, EMV non è ancora perfetto. Perché è possibile utilizzare solo i contatti dorati per comunicare (o talvolta RF), e telefoni e computer non hanno la capacità universale di parlare con le chip card, non c'è un buon modo di usare EMV per autorizzare una transazione su un browser web o al telefono. (Ci sono lettori di chip tascabili in uso da alcune banche europee, ma questi sono dispositivi scomodi che richiedono all'utente di eseguire i passaggi aggiuntivi di digitare un gruppo di cifre come la sfida e inserire la loro risposta.) Quindi per ora le transazioni web sono ancora insicuro affidarsi a numeri CVV statici, che sono l'equivalente delle password.

E questo non risolve neanche problemi di credito. L'accesso alle cartelle cliniche, ai siti Web e tutto ciò che necessita dell'autorizzazione presenta lo stesso problema e richiede una buona soluzione. Ci sono molte soluzioni a metà strada come OAuth, ma come hanno dimostrato le violazioni di Yahoo !, non sono buone soluzioni. E a prescindere dalle soluzioni, saranno combattute in comitati di standard da parte di aziende che chiedono a gran voce un pezzo di torta redditizio; governi concorrenti che vogliono controllare e ottenere un accesso backdoor; aziende tecniche che vogliono costruire l'infrastruttura, ecc. È scontato che i compromessi non saranno sia sicuri che interoperabili.

Una volta risolti questi problemi e applicate soluzioni simili a servizi sanitari, identità del sito Web, ecc., potremmo vedere la fine della casella della password mascherata. Lo do almeno 50 anni prima di arrivarci, se mai.

Sebbene la risposta di User1301428 faccia un ottimo lavoro spiegando la differenza tra password e altri tipi di dati sensibili, c'è anche un motivo tecnico: i tag di input HTML (e qualunque sia l'equivalente nelle altre piattaforme).

Da Internet Explorer 2 (nel 1995, e per estensione la prima versione di ogni altro browser) l'umile tag di input ha supportato type="password" , che praticamente ogni browser maschera il testo. Tutto ciò che ricrea il comportamento di quel tag da zero, perché in genere anche le mime comportano tale comportamento.

Ma non c'è il tipo "carta di credito" o "ssn". Quindi, mentre lo sviluppatore lo ottiene gratuitamente come parte della piattaforma web (o di altro tipo), dovrebbe usare il tipo di password per loro (violando l'ormai comune aspettativa di avere più caselle di input per suddividere il numero) o implementarlo a mano per altri dati. Poi c'è tutto il lavoro di digitare correttamente un numero di 9-16 cifre quando non puoi vedere le cifre e ... sì.

Ci sono due ragioni / differenze immediate che vedo. Il primo è menzionato di passaggio nell'eccellente risposta accettata , ma non ho visto il secondo punto menzionato qui.

1. Una password errata sarà immediatamente rilevata e rifiutata.

   A differenza di un numero di carta di credito o SSN immesso in modo errato con potenziali conseguenze, un modulo di accesso compilato con una password errata darà un feedback immediato, spesso senza altre conseguenze rispetto all'immissione della password ancora una volta.

   Naturalmente, questo è fastidioso di se stesso; quindi alcuni siti web offrono ora un'opzione "Mostra password" come miglioramento dell'usabilità.

   Tuttavia, rispetto a scoprire diversi minuti o ore dopo che il tuo acquisto non ha avuto successo (a causa di errori nell'inserimento delle informazioni della carta di credito perché il campo della carta di credito è stato cancellato), o aver scoperto mesi in seguito che il tuo deposito fiscale è stato rifiutato perché il tuo SSN è stato inserito in modo errato (perché il campo è stato cancellato), un errore di accesso è una conseguenza piuttosto familiare.

2. Quando imposti una password, gli utenti si aspettano che ti venga richiesto di inserirli due volte.

   Questo è il fattore attenuante per l'oscuramento del campo della password: è possibile inserire la password due volte, per essere sicuri di averla inserita correttamente. (Ovviamente questo si applica solo alla impostazione della password, in primo luogo, quando non c'è nulla per confrontare il valore inserito in modo da non poter rifiutare una "password errata".)

   Immagina se il campo della carta di credito fosse cancellato. Vorresti inserire le informazioni della tua carta di credito due volte, entrambe le volte facendolo cieco? (Non lo farei.) Sarebbe un miglioramento oltre l'accesso alle informazioni sulla carta di credito cieco solo una volta , ma sarebbe un passo indietro dall'entrare le informazioni e controllare che l'hai inserito correttamente- come puoi fare oggi.

È solo una pratica comune. Ci sono molte volte in cui preferirei avere una password ben visibile. Allo stesso modo, gli utenti si confondono se non riescono a vedere il loro numero di carta mentre lo digitano. Non c'è altro motivo.

Tieni presente che alcuni siti web / browser web in questi giorni consentono di "smascherare" un campo password se l'utente preferisce vedere la sua password e si sente a suo agio che nessuno li sta guardando da dietro.

In un sistema ben progettato, le password non dovrebbero essere archiviate in testo normale sul server. L'unica situazione in cui potresti vedere la password è quando la inserisci. E potresti farlo ovunque quando vuoi accedere al tuo account. Cioè, in ogni situazione in cui l'utente potrebbe essere in grado di vedere le proprie password, si dovrebbe presumere che potrebbero esserci altre persone intorno.

Per altre informazioni, è molto probabile che le persone inseriscano o le leggano in luoghi sicuri senza nessuno intorno. In molti casi l'utente inserisce queste informazioni una sola volta e utilizza il sito Web per un lungo periodo. E quando l'utente fa clic su quell'opzione utilizzando queste informazioni, dovrebbero essere già preparate.

TL; DR: Non è pratico liberarsi di tutti quelli che ti circondano quando inserisci la password.

Non sto dicendo che non dovrebbero essere cancellati. Ma questa potrebbe non essere la loro più alta preoccupazione, a seconda delle situazioni.