È buona prassi richiedere l'immissione di input sul campo della password in una webapp?

2

Sono della scuola di pensiero che dice che non dovresti mai avere il browser "ricorda la tua password" perché se lo usi abbastanza spesso, sarai in grado di conservare quella parte di informazione. Ora voglio applicarlo nel software applicativo web che stiamo costruendo. Indipendentemente dal fatto che il browser si ricordi e / o lo riempia automaticamente o no, ritengo comunque che sia favorevole alla sicurezza delle applicazioni web se qualsiasi utente dovesse ancora digitare la password. In questo modo è quasi garantito che l'utente seduto al terminale è l'utente che accede.

Ora mi sto chiedendo perché questo non sia ancora uno standard.

    
posta Dark Star1 27.10.2015 - 13:14
fonte

4 risposte

4

.... because if you use it often enough, you will be able to retain that piece of information.

Sì, ma il tuo approccio avrebbe effetti collaterali:

  • Disattivare l'opzione "ricordami" porterebbe l'utente a scegliere una password facile da ricordare -sempibile o facilmente fendibile-
  • Abilitarlo, tuttavia, risolverebbe questo problema in quanto l'utente potrebbe utilizzare una password lunga e complessa poiché non si preoccuperà di ricordarlo.
  • Una password salvata nel database del browser (abilitando l'opzione remember me) è più difficile essere compromessa da un utente malintenzionato rispetto a una password complessa che l'utente è costretto a salvare in un file MS Word / testo (l'opzione case remember me è disabilitata)
  • Pensa a un utente che si connette dal suo telefono dove la tastiera non può avere tutti i personaggi complicati che è stato usato per digitare sul suo computer (mentre l'utente potrebbe fare un po 'di copia / incolla la prima volta che usa la tua applicazione web per complicati personaggi di Google e controlla l'opzione ricordami dopo)

Quindi devi ponderare i pro e i contro della disattivazione dell'opzione remember me prima di decidere di disabilitare / attivare l'opzione remember me.

    
risposta data 27.10.2015 - 15:49
fonte
7

Se vuoi garantire (o almeno rendere più probabile) il fatto che il tuo utente sia effettivamente seduto dall'altra parte del browser, devi implementare l'autenticazione multifactor.

Come @Jay ha menzionato (e sono pienamente d'accordo, secondo il mio commento) disabilitare la possibilità di inserire una password è una cosa terribile da fare. Non è facile da usare e non aiuta la sicurezza.

AGGIORNAMENTO: incidentalmente, mi sono imbattuto in un articolo interessante diritto sullo stesso argomento (dal 2014).

    
risposta data 27.10.2015 - 15:05
fonte
4

Questa è una cattiva idea dal punto di vista della sicurezza.

Sostanzialmente incoraggi l'utente finale a eludere la sicurezza scrivendo la password o scegliendo una password davvero semplice che è banale da hackerare.

Anche da un'esperienza utente, stai "costringendo qualcosa di laggiù" che in realtà non gli piace. Ciò li rende non come la tua webapp, non importa quanto sia buona.

Se vuoi veramente assicurarti che l'utente finale stia inserendo le informazioni, usa l'autenticazione fattore 2. In questo modo hai bisogno di una voce diversa ogni volta che c'è un accesso.

su una nota a margine, grande la memorizzazione delle password a memoria, ma per la maggior parte delle persone ciò significa riutilizzare la password che può avere implicazioni molto più grandi.

    
risposta data 27.10.2015 - 15:06
fonte
1

Direi che dipende. Sulla maggior parte dei test di vulnerabilità e penetrazione che ho attraversato, ho scoperto che il completamento automatico è abilitato sul modulo. Però; Mi imbatto nello stesso problema menzionato, i clienti possono essere alienati e lasciati.

Quello che ho fatto è stato eseguire una valutazione del rischio per determinare quale fosse il rischio effettivo di abilitare il modulo. Nel complesso, il modo per ottenere la password richiederebbe la proprietà dannosa del desktop da parte di malware o di un utente non autorizzato. Fondamentalmente stai cercando di controllare un rischio su cui non hai alcun effetto. Quindi, a meno che non vi sia qualche problema normativo, non avrei davvero troppo problemi a lasciare il completamento automatico.

    
risposta data 04.11.2015 - 23:51
fonte

Leggi altre domande sui tag