Può essere una vulnerabilità mostrare le stelle nei campi di immissione della password? [duplicare]

0

I due comportamenti più comuni che vedo nei campi di immissione della password sono:

  • Per ciascun carattere digitato, visualizza un asterisco nel campo di immissione della password.
  • Mostra nulla nel campo di inserimento.

L'approccio di non visualizzare nulla nel campo di immissione può essere un rischio perché significa che se lo stato attivo è da qualche altra parte, l'utente può digitare la propria password in un posto in cui non avrebbe dovuto essere inconsapevolmente.

So che la visualizzazione dei caratteri dell'asterisco rende più facile per un navigatore sulla spalla capire per quanto tempo una password si sta utilizzando. Ma a me sembra una discussione molto debole. Se la password è abbastanza breve perché ciò sia importante, sarebbe debole anche se l'avversario non conosce la lunghezza della password.

Ci sono altri argomenti di sicurezza a favore di non avere feedback nel campo di inserimento della password?

    
posta kasperd 23.07.2017 - 20:45
fonte

1 risposta

0

No, non vi è alcun motivo valido per nascondere la lunghezza della password e, in caso affermativo, di solito è per altri motivi, ad esempio è più facile da implementare.

È una cattiva esperienza utente e un surfista sulla spalla può facilmente contare i tasti.

    
risposta data 23.07.2017 - 23:24
fonte

Leggi altre domande sui tag