Oggi ho effettuato l'accesso per pagare la fattura del mio cellulare e ho scoperto che il sito ha disattivato la funzionalità Incolla nel campo della password.
Sono un webdev e so come risolvere questo, ma per un utente normale è DAVVERO fastidioso dover digitare una password casuale come o\&$t~0WE'kL .
So che è normale che gli utenti scrivano la password quando crea un account , ma c'è qualche motivo per disabilitare le password di incolla durante l'accesso ?
Non c'è alcun vantaggio sostanziale in termini di sicurezza nel disabilitare password incollate; al contrario, è probabile che indebolisca la sicurezza scoraggiando l'uso dei gestori di password per generare e compilare automaticamente le password casuali. Mentre alcuni gestori di password sono in grado di sovrascrivere le restrizioni di incollaggio, il punto resta che gli utenti non dovrebbero essere forzati a digitare la propria password a mano.
Estratto da un rilevante articolo WIRED :
Websites, Please Stop Blocking Password Managers. It’s 2015
But what’s crazy is that, in 2015, some websites are intentionally disabling a feature that would allow you to use stronger passwords more easily—and many are doing so because they wrongly argue it makes you safer.
Here’s the problem: Some sites won’t let you paste passwords into login screens, forcing you, instead, to type the passwords out. This makes it impossible to use certain kinds of password managers that are one of the best lines of defense for keeping accounts locked down.
La disattivazione della copia di un campo password introduce un " effetto Cobra ". Un effetto Cobra "si verifica quando un tentativo di soluzione a un problema peggiora effettivamente il problema."
Troy Hunt ha recentemente scritto un articolo in cui lo spiega in maggior dettaglio . È essenzialmente un teatro di sicurezza, come quello che succede negli aeroporti per "renderci più sicuri". Troy Hunt lo chiama effetto Cobra perché disabilita l'uso di password sicure di 50 caratteri che verrebbero incollate da un gestore di password. Nel migliore dei casi, obbliga le persone a creare password facili da ricordare e quindi più hackerabili.
Qualcuno potrebbe dire che ti rende più sicuro perché impedisce che gli appunti vengano copiati dal malware, ma ignorano il fatto che se il malware può già farlo, possono anche copiare tutti i tipi di pressioni dei tasti, non solo Ctrl + V. È inutile.
Da una prospettiva UX, è solo fastidioso, come dici tu. Quindi è fastidioso da una prospettiva UX e non ci rende più sicuri. Non ha senso questa "caratteristica".
No, non c'è ragione ragionevole per farlo. È male UX, semplice e semplice. Disabilitare incollare in un campo password è in realtà incoraggiante password sbagliate. I gestori di password cancellano automaticamente gli appunti dopo aver incollato, in modo che l'argomento non sia più valido.
L'argomento di sicurezza principale per impedire la copia e l'incollatura delle password è che la password rimane negli appunti degli utenti in seguito. Ciò può portare all'esposizione accidentale della password in un contesto non correlato. Ad esempio quando l'utente lo incolla accidentalmente in un campo di input diverso in un'applicazione diversa (web o altro). Un altro scenario possibile potrebbe essere quando l'utente si allontana dal proprio dispositivo senza bloccarlo e qualcun altro preme ctrl + v per verificare ciò che ha nei propri appunti.
Tuttavia, questo è un rischio molto piccolo rispetto agli enormi vantaggi in termini di sicurezza che i gestori di password hanno. Inoltre, i gestori di password spesso dispongono di una funzione per cancellare automaticamente gli appunti pochi secondi dopo aver copiato una password da loro che riduce notevolmente questo rischio.
Ci sono motivi per farlo, anche se non molto buoni.
Fondamentalmente, scoraggia copia e incolla. Ciò significa che gli utenti hanno meno probabilità di dimenticarlo negli appunti e di farlo trapelare accidentalmente. Inoltre, se lo stanno incollando, significa che lo hanno salvato da qualche parte (come un file di testo), che non è sicuro come il loro cervello - quindi se il file di testo diventa inutile, forse si baseranno maggiormente sulla loro memoria.
Naturalmente questi non hanno realmente senso. Un sacco di persone che copiano e incollano lo fanno dal loro gestore di password, che è molto ben protetto. I gestori di password cancellano automaticamente gli appunti e, come indicato altrove, quali sono le probabilità che il tuo utente abbia un keylogger in grado di leggere gli appunti ma non i tasti premuti?
Per me, cose del genere rivelano una sorta di disprezzo per l'intelligenza dell'utente. In pratica sta dicendo "sei troppo stupido per non aver rubato la password, sei troppo stupido per seguire le semplici linee guida di sicurezza, stiamo solo per legarti questa cintura per proteggerti da te stesso". Non importa quando i dati di accesso vengono rubati, è molto più probabile che sia a causa di una violazione dei dati sul lato server, piuttosto che una perdita di appunti sul lato client. Cerco di evitare tali siti se possibile, poiché mi fanno pensare che non sono il pubblico giusto per il sito.
Fortunatamente molti gestori di password in questi giorni stanno iniziando a emulare le pressioni dei tasti anziché incollare direttamente, quindi alla fine lo scherzo è su di loro.
Posso effettivamente pensare esattamente una buona ragione per disabilitare l'incollamento della password. Quando inizialmente imposta la password o la modifica.
Il motivo è che esiste una piccola possibilità che, per qualsiasi ragione, non si è riusciti a copiare la password negli appunti quando si pensava di averlo fatto, e quindi ciò che si incolla nel campo della password è in realtà qualsiasi assurdità era presente sul appunti prima. Poiché il campo della password è mascherato, non avresti modo di sapere che hai appena incollato
826 W. Main St. nel campo della nuova password, invece di
Bubblez84-l0ve!
o
h*7dn$l83k&(4;p
come pensavi di avere. Quale sarà un vero problema la prossima volta che proverai ad accedere.
Molte delle risposte sottolineano che si tratta di una cattiva pratica perché può inficiare i gestori di password. Mentre l'uso dei gestori di password dovrebbe essere incoraggiato a memorizzare le password negli appunti dovrebbe essere strongmente sconsigliato. Gli appunti non sono uno speciale armadietto di sicurezza per le informazioni e, dal punto di vista della progettazione, facilitano l'accesso ai contenuti e non offrono crittografia.
Ecco solo uno scenario su come questo potrebbe essere sfruttato:
Ci sono stati persino casi in cui qualcuno ha acquistato un sacco di annunci rich media su una serie di siti web ben noti. Mentre sembravano annunci flash apparentemente innocui, in realtà rubavano i dati degli appunti degli utenti nella speranza di ottenere informazioni utili.
Quindi, in chiusura, se hai qualcosa che vuoi tenere al sicuro, non archiviarlo negli appunti .
Sono un product manager per la sicurezza online di un'azienda molto grande.
Oggi ho avuto un incontro riguardo la disabilitazione delle password di incollamento. Permettiamo di incollare le password al momento, ma pensiamo a cambiarle.
Ci sono diverse prospettive che puoi adottare su questo approccio e i pro / contro possono variare completamente a seconda del caso d'uso che hai e di come il tuo sito è protetto e se usi 2FA o meno.
Personalmente non disabiliterò l'incollaggio di password per siti che si basano solo su username & password per il login.
Sto pensando di disabilitarlo nel nostro caso per diversi motivi
La forza della tua password non ti rende più sicuro nel nostro caso. Sì, so che stiamo dicendo alle persone da secoli che dovrebbero scegliere una password ragionevolmente sicura, ma alla fine questo non ti aiuterà un po 'se il tuo computer è stato infettato da malware. Al malware non interessa se la tua password è "12345" o qualche super sofisticata cifra di 100 caratteri. Lo ruba o prende il sopravvento sulla tua sessione.
Non affrontiamo il rischio di attacchi di forza bruta o di induzione di password. Ci sono modi per mitigare ciò che è in atto nel nostro caso.
Esistono soluzioni biometriche comportamentali in cui i profili sono costruiti sulla base di dinamiche di battitura ecc. che consentono con un alto grado di certezza di identificare se un utente che inserisce le credenziali è effettivamente l'utente che ci aspettiamo. Le credenziali sono vere o false. Se qualcuno ha le tue credenziali è in grado di autenticarsi. Questo è il motivo per cui vorrei sapere se la persona che sta inserendo le credenziali corrette è effettivamente la persona che ci aspettiamo di conoscerle. Username e password devono essere inseriti ogni volta durante il processo di login, quindi questi campi sono piuttosto interessanti per verificare se tale soluzione è implementata nell'organizzazione. Questo non è possibile se qualcuno copia / incolla la sua password.
Non ho ancora deciso di disabilitarla nel nostro caso. Come sempre, dobbiamo mantenere un equilibrio tra usabilità e sicurezza.
Altre risposte hanno fornito spiegazioni più approfondite, ma in breve ricordo che il più grande rischio per la sicurezza relativo alle password proviene ancora da attacchi mirati ai server, non a un cliente. In altre parole, avere la propria password negli appunti non la mette molto a rischio, perché se la password dovesse essere violata sarebbe più probabile che venisse violata da un database di password rubato dal server o addirittura da una forza maggiore di quella rubata dagli appunti.
Ecco perché è significativo il fatto che, come hanno sottolineato altre risposte, impedire a un utente di incollare la propria password scoraggia gli utenti dall'avere una password complessa, rendendo la loro password più facile da usare in bruteforce e quindi meno sicura.
Penso che dipenda dai servizi che sono protetti dal modulo di accesso. È importante considerare che un gestore password può limitare l'accesso al dispositivo su cui è installato il gestore password, il che non è sempre quello concordato dal fornitore di servizi. Ad esempio, se il servizio era una banca che desidera offrire ai propri utenti l'opportunità di bloccare le carte in caso di smarrimento o furto, potrebbe non voler limitare questo privilegio ai casi in cui il dispositivo che gestisce il gestore di password non è stato perso o rubato .
Leggi altre domande sui tag passwords password-management web-application