Uso alcuni siti Web che mi impediscono di copiare e amp; incollando nei campi username o password. È piuttosto frustrante quando si utilizza un gestore di password e, in ogni caso, penso che scoraggi gli utenti da una buona gestione delle password perché dovranno scegliere qualcosa che possono digitare manualmente più e più volte.
Esistono effettivamente dei vantaggi nell'impedire l'operazione Incolla su un'applicazione o un sito Web?
Secondo me, non penso che sia una vittoria netta. Queste restrizioni mi frustrano sempre.
(Spero che qualcuno qui pubblichi i dettagli su come disinnescare o aggirare il problema. Forse un tweak su user_prefs.js di Firefox? Un'estensione?)
Presumibilmente il motivo per cui i siti disabilitano il gestore di password è perché sono preoccupati che Alice possa sedersi davanti al browser di Bob e accedere al sito web come Bob, magari acquistando qualcosa nella scheda di Bob. Questo è particolarmente un problema per coinquilini, familiari, ecc. Che vivono insieme l'uno con l'altro. (Vedi anche "frode amichevole".) Un rischio correlato è che Bob potrebbe effettivamente acquistare qualcosa, ma poi sostenere che Alice lo ha fatto per ottenere di pagare per questo. Presumibilmente, i siti sperano che disabilitando il gestore di password, Bob sarà costretto a digitare nuovamente la sua password ogni volta; Alice non conoscerà la password e non sarà in grado di digitarla.
Tuttavia, queste restrizioni hanno un costo significativo. Rendono il sito Web meno utilizzabile e più fastidioso per gli utenti. Inoltre, spingono gli utenti a selezionare password scadenti (che potrebbero essere più suscettibili agli attacchi di induzione di password) oa scrivere le loro password (potenzialmente permettendo a compagni di stanza e familiari di imparare la password, lasciando tutti indietro dove abbiamo iniziato). Per gli utenti che si fidano di tutti gli altri che hanno accesso fisico al proprio computer, queste restrizioni riducono drasticamente la sicurezza.
Personalmente, sospetto che la maggior parte dei siti dovrebbe essere riluttante ad adottare tali misure. Le probabilità sono che infastidirai i tuoi utenti più di quanto non li aiuteresti. Ma sarai in una posizione migliore per prendere una decisione informata.
Se decidi di utilizzare tali restrizioni, potresti considerare di fornire agli utenti un modo per rifiutare se non condividono il loro computer con altri. Forse questo potrebbe interessare solo gli utenti, quindi non so se valga la pena, ma potresti prenderlo in considerazione.
I due motivi principali che mi sono sempre stati indicati sono:
Il numero 2 è il più importante, credo - è abbastanza difficile convincere le persone a ricordare le proprie password quando tornano in vacanza - il carico dell'helpdesk è alto dopo le principali festività e le aziende cercano di ridurlo.
Personalmente non penso che ci siano dei veri benefici. Sono d'accordo con l'idea che probabilmente infastidirai i tuoi utenti a scegliere qualcosa che non è di aiuto.
Detto questo, credo che i razionali usati siano o per
Anche se potrebbe essere razionale che potesse difendersi da Little Johnny svuotando il conto in banca di sua madre, non vedo molto altro nella praticità. Immagino che se riesci ad aggirare il file della password, puoi probabilmente curiosare sull'input della tastiera.
Un esempio di questo comportamento è Paypal: impediscono di incollare nelle caselle della password quando si cambia la password (ma non quando si inserisce la password per accedere, si lavora fuori !!). La loro motivazione è:
The feature of using control-V is not available in resetting the password as this is one of our ways to insure (sic) that it is indeed the account holder who is accessing the account.
In questo esempio e in altri che ho trovato, puoi disabilitare javascript per abilitare l'incollatura. Chrome, ad esempio, ti permette di farlo a livello di sito per sito, quindi puoi semplicemente impedire a Paypal di utilizzare javascript e gestire la funzionalità ridotta.
Aggiornamento Ebay sono stati anche infettati dal virus di pseudo-sicurezza di Paypal. Hanno disattivato l'inserimento nel campo Carta di credito / debito quando si aggiorna il metodo di pagamento automatico.
Ad ogni modo, sinceramente non compro la loro logica. Un utente esperto di tecnologia (o hacker) può disabilitare javascript per ignorare questa funzione, quindi tutto ciò che fa è costringere gli utenti inesperti a utilizzare password deboli (ad esempio quelli che possono essere disturbati a digitare). Ho riferito questo a loro, ma ero prevedibilmente derubato - per qualche motivo la gente del servizio clienti non apprezza mai parlare di problemi tecnici / di sicurezza ...
Aggiornamento 2
Il governo del Regno Unito pensa ufficialmente che Paypal / Ebay siano stupidi per questo: vedi il sito Web del National Cyber Security Center.
Ci scusiamo per aver postato questo come risposta piuttosto che come commento - la mia reputazione non è ancora abbastanza alta.
Chiaramente verso politiche di sicurezza sbagliate in azienda. Bet365 è un'altra parte colpevole in questo. Nota: applicare la digitazione delle password non equivale a bloccare il completamento automatico.
L'imposizione della digitazione manuale delle password ha le seguenti implicazioni sulla sicurezza. Incoraggia le password deboli che possono essere ricordate. Incoraggia le password che vengono utilizzate su più siti Web (come tutto sommato più facile da ricordare) Incoraggia le password deboli perché "bene" sono più facili da digitare. Un keylogger sulla macchina può intercettare le password digitate. Probabilmente le password complesse memorizzate devono essere incollate nel blocco note o qualcosa prima, in modo che possano essere digitate. Quindi vulnerabili a cose come gli screen grabbers.
Il rischio di consentire una pasta è solo uno, in quanto può essere memorizzato in un file di testo chiaro da qualche parte, ma potrebbe comunque essere comunque il caso quando lo si digita.
Questo è un vecchio post, molto vecchio, ma so perché questi siti bloccano l'inserimento di password e non per ragioni di sicurezza che contano davvero. Così, quando ho ottenuto il mio secondo lavoro, presso una società di servizi software di dimensioni relativamente grandi (leggi tecnologia sweatshop), ci hanno fatto passare 3 mesi di formazione retribuita (leggi vacaction) Le persone che ci lavoravano iniziarono con la codifica in HTML / Javascript prima di progettare l'interfaccia utente (leggi il codice spaghetti mal progettato)
Quindi hanno costruito le convalide su javascript per controllare i campi vuoti, regex etc e ofcourse che dovevano convalidare su keypress. Il problema era che non funzionava se l'utente incollava l'input, quindi bloccavano la copia / incolla per impedire agli utenti di immettere dati non sicuri. Le convalide sul lato server di Ofcourse risolverebbero completamente il problema, ma nessuno aveva competenze tecniche lì. Queste persone hanno poi continuato a costruire / lavorare su software aziendale e molte banche e soluzioni aziendali hanno quindi questa restrizione.
Questa è la vera ragione per cui abbiamo queste "convalide" perché le persone non sono in grado di capire come convalidare i dati incollati e non hanno idea di come convalidare roba sul lato server.
Uno degli "istruttori" che in realtà suggeriva di convalidare sul lato client riduce il carico sul server.
Leggi altre domande sui tag authentication passwords