È buona prassi richiedere l'immissione di input sul campo della password in una webapp?

.... because if you use it often enough, you will be able to retain that piece of information.

Sì, ma il tuo approccio avrebbe effetti collaterali:

• Disattivare l'opzione "ricordami" porterebbe l'utente a scegliere una password facile da ricordare -sempibile o facilmente fendibile-
• Abilitarlo, tuttavia, risolverebbe questo problema in quanto l'utente potrebbe utilizzare una password lunga e complessa poiché non si preoccuperà di ricordarlo.
• Una password salvata nel database del browser (abilitando l'opzione remember me) è più difficile essere compromessa da un utente malintenzionato rispetto a una password complessa che l'utente è costretto a salvare in un file MS Word / testo (l'opzione case remember me è disabilitata)
• Pensa a un utente che si connette dal suo telefono dove la tastiera non può avere tutti i personaggi complicati che è stato usato per digitare sul suo computer (mentre l'utente potrebbe fare un po 'di copia / incolla la prima volta che usa la tua applicazione web per complicati personaggi di Google e controlla l'opzione ricordami dopo)

Quindi devi ponderare i pro e i contro della disattivazione dell'opzione remember me prima di decidere di disabilitare / attivare l'opzione remember me.

Se vuoi garantire (o almeno rendere più probabile) il fatto che il tuo utente sia effettivamente seduto dall'altra parte del browser, devi implementare l'autenticazione multifactor.

Come @Jay ha menzionato (e sono pienamente d'accordo, secondo il mio commento) disabilitare la possibilità di inserire una password è una cosa terribile da fare. Non è facile da usare e non aiuta la sicurezza.

AGGIORNAMENTO: incidentalmente, mi sono imbattuto in un articolo interessante diritto sullo stesso argomento (dal 2014).

Questa è una cattiva idea dal punto di vista della sicurezza.

Sostanzialmente incoraggi l'utente finale a eludere la sicurezza scrivendo la password o scegliendo una password davvero semplice che è banale da hackerare.

Anche da un'esperienza utente, stai "costringendo qualcosa di laggiù" che in realtà non gli piace. Ciò li rende non come la tua webapp, non importa quanto sia buona.

Se vuoi veramente assicurarti che l'utente finale stia inserendo le informazioni, usa l'autenticazione fattore 2. In questo modo hai bisogno di una voce diversa ogni volta che c'è un accesso.

su una nota a margine, grande la memorizzazione delle password a memoria, ma per la maggior parte delle persone ciò significa riutilizzare la password che può avere implicazioni molto più grandi.

Direi che dipende. Sulla maggior parte dei test di vulnerabilità e penetrazione che ho attraversato, ho scoperto che il completamento automatico è abilitato sul modulo. Però; Mi imbatto nello stesso problema menzionato, i clienti possono essere alienati e lasciati.

Quello che ho fatto è stato eseguire una valutazione del rischio per determinare quale fosse il rischio effettivo di abilitare il modulo. Nel complesso, il modo per ottenere la password richiederebbe la proprietà dannosa del desktop da parte di malware o di un utente non autorizzato. Fondamentalmente stai cercando di controllare un rischio su cui non hai alcun effetto. Quindi, a meno che non vi sia qualche problema normativo, non avrei davvero troppo problemi a lasciare il completamento automatico.