L'utente dovrebbe poter salvare la password nel browser?

Naviga le tue risposte
11

La società di revisione ha rilevato un errore "L'attributo di modulo Completamento automatico è impostato nel campo della password". Hanno suggerito di disabilitare il completamento automatico di questo campo per impedirne la divulgazione "quando si lavora su ambienti condivisi come i negozi di caffè in Internet"

Ma la disattivazione dell'attributo autocomplete non impedisce al browser di memorizzare la password durante la registrazione. Come impedire agli utenti di memorizzare la password nel proprio browser? (ad esempio, l'aspetto del popup del browser "Vuoi salvare questa password?" dopo la registrazione o il login)

L'archiviazione della password nel browser dell'utente può essere pericolosa a causa di trojan che possono rubarla. Tuttavia, la password di completamento automatico può essere utile per i keylogger e gli uomini che stanno dietro la spalla. Quindi, dovrebbe essere consentito all'utente di memorizzare la password nel suo browser?

    
posta Andrei Botalov 02.02.2012 - 14:14
fonte

2 risposte

9

Ci sono diverse funzionalità in gioco qui. I browser offrono la possibilità di completare automaticamente i campi di testo con valori precedentemente inseriti, il che richiede la memorizzazione di una cronologia dei valori precedentemente inseriti nello stesso campo. Questa cronologia è archiviata in testo chiaro e senza alcun feedback da parte dell'utente. Un campo password non dovrebbe mai essere soggetto a tale memorizzazione cronologica e completamento automatico.

I browser hanno anche una funzione distinta specificamente mirata alle password. Le password (che la pagina web dichiara come tali) vengono memorizzate solo se l'utente risponde esplicitamente a "sì" a un prompt - la maggior parte dei browser richiede qualche variazione su "Vuoi salvare le password? Sì / No / Mai per questo sito ". Inoltre, l'utente può inserire una password principale nella memorizzazione delle password, che protegge le password mentre l'utente non sta utilizzando il computer.

Nella maggior parte dei casi, dovresti dichiarare le password come tali e permetterle di essere salvate nel browser. Ciò pone la responsabilità della sicurezza della password per l'utente e come spiega bene Tom Leek , di solito è la cosa giusta da fare. Se non lo fai, è probabile che gli utenti scrivano la password in un file di testo. Se gli utenti usano un computer condiviso o trojan, hanno comunque perso. Se l'utente acconsente all'archiviazione delle password, non c'è nulla da guadagnare negandogli tale caratteristica.

    
risposta data 02.02.2012 - 17:57
fonte
10

Non puoi impedire all'utente di scrivere la sua password su una nota adesiva e "nasconderla" sotto la tastiera. Non è possibile impedire all'utente di fornire la propria password a moglie, amici e colleghi. Non puoi impedire all'utente di scegliere come password l'ID tatuato nell'orecchio del suo cane (c'era persino una pubblicità da una grande banca francese che promuoveva esattamente questo). Del resto, non è possibile impedire agli utenti di digitare la propria password su un computer Internet Coffee Shop, che è già una cattiva idea, a causa della minaccia dei keylogger.

Quindi tendo a dire che la sicurezza delle password è responsabilità dell'utente, e se è intenzionato a fare qualcosa di stupido, non puoi davvero impedirlo.

Si noti che il "completamento automatico" è qualcosa di leggermente diverso, perché si tratta di un browser Web che riempie automaticamente indipendentemente dalla pagina di destinazione; normalmente, la funzione "password salvata" è legata nel browser a una pagina specifica (o al sito), quindi non presenta i problemi di privacy che gli elementi di campo non-password completati automaticamente hanno (e che la società di revisione sottolinea giustamente) . Il salvataggio della password dovrebbe essere gestito con sufficiente cura dal browser stesso.

Tuttavia, sembrano esserci alcuni modi per impedire la memorizzazione della password dalla pagina stessa, o almeno da persone che condividono la tua preoccupazione, probabilmente per ragioni amministrative che possono essere o meno convalidate razionalmente; vedi, ad esempio, questa domanda su StackOverflow .

    
risposta data 02.02.2012 - 14:36
fonte

Leggi altre domande sui tag

Implicazioni dei metodi Trace / Track su Apache Il sistema operativo Qubes è più sicuro rispetto all'esecuzione di una serie di VM correlate alle attività?