HTML Input di tipo testo per password

Questa è una vulnerabilità. Se gli utenti hanno JavaScript disabilitato, le loro password non saranno modificate in punti e quindi saranno vulnerabili alla navigazione a spalla.

Come l'utente @Question Overflow indica nel commento alla tua domanda, facendo clic all'esterno del campo verrà visualizzata anche la password. Ciò significa che un collega può vedere la password dell'utente prendendo il mouse per un momento, anche accidentalmente.

Il sito potrebbe seguire la guida nell'articolo " Stop Masking password ", pubblicato da Jakob Nielsen il 23 giugno 2009.

Summary: Usability suffers when users type in passwords and the only feedback they get is a row of bullets. Typically, masking passwords doesn't even increase security, but it does cost you business due to login failures.

Il mascheramento delle password risolve l'attacco di spalla a un costo considerevole in termini di usabilità, specialmente tra utenti non tecnici che non utilizzano un gestore di password. Il sito potrebbe aver soppesato il rischio di spaccare le spalle rispetto ad altri attacchi alle credenziali degli utenti e ritenuto che non valesse la perdita dell'usabilità. Ho visto alcuni altri siti che utilizzano un controllo JavaScript per attivare l'attributo type del campo password tra "password" e "text" , consentendo all'utente di fare il proprio compromesso tra usabilità e sicurezza contro la navigazione a spalla.

Il sito in questione è descritto come non abbastanza dopo questo consiglio. Forse gli ingegneri stavano seguendo questo consiglio ma poi la direzione ha chiesto che fosse cambiato. O forse stavano cercando di emulare il comportamento dei dispositivi mobili che mostrano brevemente l'ultimo carattere inserito nei campi della password.