今天,我登录支付手机账单,发现该站点已禁用密码字段中的粘贴功能。

我是一个webdev,我知道如何解决这个问题,但对于普通用户来说,我真的很讨厌不得不输入o\&$t~0WE'kL这样的随机密码。

我知道让用户在创建帐户时写密码是正常的,但是有什么理由在登录期间禁用粘贴密码吗?

评论

我听过一种理论,即“我们希望培训用户将其密码从易受攻击的剪贴板中剔除”……但是,如果这种做法受到威胁,键盘会更安全吗?

您为什么认为“让用户在创建帐户时输入密码是正常的”?完全一样:它阻碍了密码管理器的使用(例如,在创建帐户时会生成很好的新密码)

@DaniEll我认为他们在创建帐户时会禁用密码粘贴,这样人们就不会在第一个字段中输入错误的密码,并将错误的密码复制到第二个字段...

更不用说,因为它不会阻止用户从任何地方复制密码,因此不会使剪贴板更安全。当用户意识到粘贴不起作用时,为时已晚。

不,不打电话。听起来像金融机构安全专家的想法。像嘿一样,让我们​​将长度限制为15,以实现[插入不良原因]。

#1 楼

禁止粘贴密码并没有实质性的安全利益;相反,它可能会阻止使用密码管理器生成和自动填充随机密码,从而削弱安全性。尽管某些密码管理器可以覆盖粘贴限制,但仍然有一点要指出的是,不应强迫用户手动键入密码。

相关的WIRED文章的摘录:


网站,请停止阻止密码管理器。到了2015年

但是令人疯狂的是,在2015年,一些网站故意
禁用了一项功能,该功能可以让您更轻松地使用更强大的密码
–许多人正在这样做因为他们错误地认为这样做会使您更安全。

这是问题所在:有些网站不允许您将密码粘贴到
登录屏幕中,从而迫使您键入密码。密码了。这
使得无法使用某些密码管理器,这些密码管理器是保持帐户锁定的最佳防御方法之一。


评论


另一篇涵盖这种做法的“防御”的文章:troyhunt.com/the-cobra-effect-that-is-disabling

–李杰克
16年7月27日在8:51

听起来有些不错的名字和耻辱感。到底是谁故意做的?

–安德鲁·霍夫曼(Andrew Hoffman)
16年7月27日在19:26

可能更糟。要购买T-bills的.gov网站,需要使用屏幕键盘,鼠标上的字母随机放置。彻底折磨得到一个随机的强密码,在完成一次之后,我用滑脂猴子修复了它。

–JDługosz
16年7月28日在7:59

@KevinKrumwiede PayPal似乎已经扭转了这个问题,至少对我而言。如果我尝试用LastPass自动填充,它告诉我密码错误,但是如果我有LastPass将密码复制到剪贴板并手动粘贴,则可以正常工作。

–迈克·凯洛格
16年7月28日在15:53

当我无法“粘贴”密码时,我无法忍受。作为一个狂热的密码管理员用户,我只有那些站点的密码。它不安全也不坚固。本质上,我不妨只使用密码一词。因此,我也认为整个站点都是不安全的。

–牛羚
16年7月28日在16:44

#2 楼

禁用粘贴密码字段会引入“眼镜蛇效果”。尝试解决问题实际上会使问题变得更糟时,会发生眼镜蛇效应。

特洛伊·亨特(Troy Hunt)最近写了一篇文章,在其中对其进行了详细解释。它本质上是一个安全剧院,就像在机场发生的“使我们更安全”一样。特洛伊·亨特(Troy Hunt)称其为Cobra效果,因为它禁用了将从密码管理器粘贴的安全的50个字符的密码。充其量,它迫使人们创建容易记住的密码,因此更容易被黑客攻击。

有人会说它使您更安全,因为它可以防止剪贴板被恶意软件复制,但是他们忽略了事实上,如果恶意软件已经可以做到这一点,它们还可以复制各种按键,而不仅仅是Ctrl + V。毫无意义。

从UX的角度来看,就像您所说的那样,这很烦人。因此,从UX的角度来看这很烦人,并且不会使我们更安全。这个“功能”毫无意义。

评论


虽然我总体上同意您的回答,但不同意您对剪贴板安全性的意见。例如,Flash Player可以访问剪贴板,但我认为它无法记录您的按键操作(至少在Flash对象未聚焦的情况下)

–鱼骨
16年7月28日在14:55

如果Adobe是正确的,则Flash Player仅在用户主动从剪贴板粘贴内容时才能读取剪贴板。

–罗兰·伊利格(Roland Illig)
16年7月31日在21:19

老实说,如果您不能在网站上粘贴密码的借口是“我们担心恶意Flash插件会窃取您的凭据”,那么我真的很想知道为什么首先允许您在网站上使用恶意Flash插件。任何网站都可能通过两种方式发生这种情况:通过恶意广告和网站入侵,而且与窃取一个网站的证书(通常是唯一的)相比,那些网站做的事情通常更糟。

– Nzall
16年8月1日在13:53



我同意这个答案的精神,但是说它100%没有意义是错误的。在某些情况下,剪贴板可能会遭到破坏,但键盘记录(或其他攻击)可能不会发生,也不太可能发生。例如:锁定的信息亭OS,或恰好见证密码粘贴的机会主义攻击者。

–乔恩·本特利
16年8月3日在8:45

#3 楼

不,这样做没有明智的理由。这是糟糕的UX,简单明​​了。禁用粘贴到密码字段实际上是在鼓励输入错误的密码。密码管理器在粘贴后会自动清除剪贴板,因此该参数不再有效。

评论


一些密码管理器*我使用LastPass,这是一个相当大的名称密码管理器,它不会清除我的剪贴板

– DasBeasto
16年7月26日在22:01

@DasBeasto可以,但是不会粘贴,但是会在指定的复制时间后复制。退出应用程序时,它还将清除剪贴板

–SztupY
16年7月27日在16:09

即使密码管理器在粘贴后清除剪贴板的确是事实,并不是每个人都使用密码管理器,人们也会从其他来源复制粘贴。

–塔米尔
16年7月27日在19:38

如何在登录表单中检测javascript中的粘贴并随后清除剪贴板呢? JavaScript是否足够强大?

– beppe9000
16年8月1日在15:41

@ beppe9000为什么要完全拧紧用户剪贴板。他们是用户,大概他们知道自己在做什么,并且最有资格管理自己的密码。也许他们有一个比网页更智能的系统。如果他们只是想看看他们的密码管理器粘贴了什么以解决技术问题,该怎么办?

– Sqeaky
16年8月2日在15:37

#4 楼

禁止复制和粘贴密码的主要安全性参数是密码此后仍保留在用户剪贴板中。这可能导致在不相关的上下文中意外暴露密码。例如,当用户随后意外将其粘贴到其他应用程序(Web或其他)中的其他输入字段中时。另一种可能的情况是,用户在不锁定设备的情况下离开设备而其他人按ctrl + v来检查剪贴板中的内容。

与密码管理器具有巨大的安全优势。另外,密码管理器通常具有从剪贴板复制密码后几秒钟自动清除剪贴板的功能,这大大降低了这种风险。

评论


这种逻辑还有一个大问题,那就是在您发现无法粘贴密码之前,您已经复制了密码...

– Ant P
16 Jul 27 '15:51



@AntP但是,只有在您首次尝试使用密码管理器登录网站时,您才会犯“错误”,而不是每次使用该应用程序时都会犯此错误。

– Philipp
16年7月27日在15:54

足够真实了...主要是因为我不会第二次登录了:)

– Ant P
16年7月27日在15:56

是的,我认为这里真正被误导的动机是假设这种做法将“培训”用户永远不要将其密码复制到剪贴板中,而这实际上只是迫使他们在该特定站点上解决该问题。

–识别器
16年7月27日在15:57

@Philipp仅当您足够频繁地登录以至于您记住它不起作用时。如果您每月仅登录一次或每年登录3次,则可能会忘记并重试,甚至希望重试一次,希望他们摆脱“功能”。

– jpmc26
16年7月29日在0:20



#5 楼

这样做虽然不是很好,但还是有原因的。

基本上,它不鼓励复制和粘贴。这意味着用户不太可能将其忘记在剪贴板上并意外泄漏。另外,如果他们粘贴它,则意味着它们将其保存在某个地方(例如文本文件),这不如他们的大脑安全-因此,如果文本文件变得无用,也许他们会更多地依赖于内存。 />
当然,这些实际上没有任何意义。很多复制和粘贴的人都是通过密码管理器来执行此操作的,密码管理器受到了很好的保护。密码管理器也会自动清除剪贴板,并且正如其他地方指出的那样,您的用户获得可以读取剪贴板但不能按键盘的键盘记录程序的可能性有多大?

对我来说,像这样的事情露出对用户智能的蔑视。基本上是在说:“您太傻了,无法窃取密码,您太傻了,无法遵循简单的安全准则,我们只是将这种婴儿背带绑在您身上,以保护自己免受伤害。”没关系,当您的登录详细信息被盗时,很可能是由于服务器端的数据泄露,而不是客户端的某些剪贴板泄漏。我尽量避免访问此类网站,因为它们使我认为我不是该网站的合适受众。

这些天很多密码管理器开始只模仿按键操作,而不是模仿直接粘贴,所以最后是在讲笑话。

#6 楼

实际上,我可以想到一个完全正确的理由来禁止密码粘贴。最初设置密码或更改密码时。

原因是确实存在很小的机会,无论出于何种原因,您都以为自己无法将密码复制到剪贴板中,因此您粘贴到密码字段中的内容实际上就是之前剪贴板上的废话。由于密码字段已被屏蔽,因此您将无法知道刚刚将

826 W. Main St.粘贴到了新的密码字段中,而不是

Bubblez84-l0ve!
h*7dn$l83k&(4;p

就像您认为的那样。下次您尝试登录时,这将是一个真正的问题。

评论


所以呢?有密码恢复。同样,您可能还会在将密码tp永久存储在网站上之前/之后粘贴该密码tp永久存储,您应该注意到它,或者无论如何都要保持不变。

–akostadinov
16年7月28日在6:37

@akostadinov如果(您认为)是从某个地方复制密码的,那么您不太可能会花大力气将密码同时粘贴到一个清晰的文本空间中。除非您像我一样并且实际经历过这种情况,否则您将采取应该复制某些内容但没有复制某些内容的动作,并意识到那是发生了什么。

–丹·亨德森(Dan Henderson)
16年7月28日在6:55



摆脱此问题的一个好方法是停止屏蔽密码。在大多数情况下,它几乎没有增加安全性。

–烟斗
16年7月28日在9:39

@pipe我和你在一起。仅当您在公共场所和/或可能随时有人抬头时,它才真正有用。可以选择显示密码(实际上似乎已经成为最近的事情了)完全可以。很多时候,用户根本不会有人看着他们。此外,如果有人在看着他们,那么蒙面并不是那么有用。观看的人还可以记下您键入的内容,也可以看到您复制的内容。他们不太可能记住它,但是……情况也不太可能。

– VLAZ
16年7月30日在11:41

@pipe在截屏或演示中确实很有意义。当然,除非密码拥有者事先事先向演示者喊了密码。

– John Dvorak
16年8月1日在6:04

#7 楼

我是一家大型公司的在线安全产品经理。

今天我实际上开会了关于禁用粘贴密码的会议。
我们现在允许粘贴密码,但可以考虑更改它。

您可以采用不同的观点,这种方法的利弊可能会完全不同,具体取决于您的用例,网站的安全性以及是否使用2FA。

我个人不会禁用仅依赖用户名和密码进行登录的网站的密码粘贴。

我正在考虑在我们的案例中将其禁用原因


密码的强度不能使您在我们的情况下更安全。是的,我知道我们很久以来就在告诉人们他们应该选择一个合理的安全密码,但是最终,如果您的计算机感染了恶意软件,这对您/我们将无济于事。恶意软件不在乎您的密码是否为“ 12345”或某些超级复杂的100个字符的密码。它会窃取它或接管您的会话。
我们不会面临暴力或猜测密码攻击的风险。在我们的案例中,有很多方法可以缓解这种情况。
有一些行为生物特征识别解决方案,其中的配置文件是基于击键动态等建立的,可以高度确定性地确定输入凭据的用户是否确实是我们期望的用户。凭据为真或假。如果有人拥有您的凭据,他就可以进行身份​​验证。这就是为什么我想知道输入正确凭据的人是否确实是我们希望认识他们的人。在登录过程中每次都必须输入用户名和密码,因此检查这些域是否在组织中部署了这样的解决方案非常有趣。如果有人复制/粘贴他们的密码,这是不可能的。

我还没有决定在我们的案例中禁用它。
与往常一样,我们需要在可用性和安全性之间保持平衡。

评论


在我眼中,您的论点不成立。 “在我们的情况下,密码的强度并不能使您更加安全。” -那么,为什么根本没有密码?当我总是选择强密码(例如使用pw管理员)时,为什么要为您的网站设置例外?

–杜布
16年7月29日在13:48

“我们不会面临暴力或猜测密码攻击的风险。” -暴力攻击是通过脚本直接将数据发送到服务器而不是通过浏览器完成的。禁用粘贴会惹恼您的合法用户,而不是黑客。

–杜布
16年7月29日在13:49

“有一些行为生物特征识别解决方案,其中基于击键动力学等来建立配置文件。” -如果用户输入正确的凭证但具有“错误的动态”,您将怎么办?拒绝访问?而且使用复杂的密码,我很容易输错很多并重新输入。我认为您永远不会两次向我产生相同的“动力”。

–杜布
16年7月29日在13:54

@Dubu我怀疑具有错误动态的正确凭据会导致身份挑战,大致如下:生物识别数据与用户“ Dubu”不一致。需要二次验证。请[回答此安全问题/输入我们刚刚发给您的验证码/检查您的注册电子邮件地址以获取验证链接]。

–丹·亨德森(Dan Henderson)
16年7月29日在14:51



第一点-支持粘贴。如果用户是否受保护无关紧要,则禁用它仍然无关紧要,但是会惹恼用户。净收益-安全性为零,可用性为点。第二点-反对认为暴力破解是通过网页进行的。净收益:-1为安全。要点3-生物特征很糟糕。这是不一致的。用一只手键入错误的手势(在移动设备上),使用不同的键盘,使用不同的位置可能会影响它并发出挑战。很多误报。即使用户的键入是一致的,也可能不是唯一的。

– VLAZ
16年7月30日在11:52

#8 楼

许多答案都指出这是错误的做法,因为它可能破坏密码管理器。虽然应鼓励使用密码管理器,但强烈建议不要将密码存储在剪贴板中。剪贴板不是用于信息存储的特殊安全储物柜,并且设计使它易于访问且不提供加密。

这里只是如何利用此信息的一种情况:


用户将密码复制为纯文本。
用户仅在浏览Web时便使用Flash应用程序访问了另一个网站。或者网站被攻击者有意发送给受害者。
Flash允许以API的形式访问剪贴板。因此,剪贴板中的内容很容易访问,并可以发送给攻击者。

甚至有些情况下,有人在许多知名网站上购买了许多富媒体广告。尽管它们看起来像是无害的Flash广告,但实际上它是在窃取访问者剪贴板数据,以期希望获得有用的信息。

因此,结语,如果您有想要确保安全的物品,请不要将其存储在剪贴板中。

评论


...或稍后将其他内容复制到剪贴板中。

–丹·亨德森(Dan Henderson)
16年7月28日在6:58

或者不要在您的登录页面上使用Flash。

–JDługosz
16年7月28日在8:03

密码管理器通常在几秒钟后清除剪贴板。我的还结合了键入和选择性复制/粘贴功能,因此我的密码永远无法在剪贴板或键入历史记录中完全读取(例如,键盘记录程序的日志文件)

– BlueCacti
16年7月28日在10:29

@ardaozkal Windows上的剪贴板没有历史记录,但是您说对了,程序可以创建自己的历史记录。

– MiniRagnarok
16年7月28日在13:47

@baconface您是否有Flash参考,可以访问用户的剪贴板而没有用户的交互?根据此adobe.com/devnet/flashplayer/articles/…,它需要用户交互才能获取系统剪贴板。

–罗里·麦库恩(Rory McCune)
16年8月5日在10:09



#9 楼

其他答案给出了更深入的解释,但简而言之,请记住,与密码有关的最大安全风险仍然来自针对服务器而非客户端的攻击。换句话说,将密码保存在剪贴板上并没有带来太大的风险,因为如果密码被破解,则很可能是从服务器窃取的密码数据库甚至是暴力破解的密码数据库中,而不是从剪贴板窃取的。

因此,正如其他答案所指出的那样,为什么防止用户粘贴密码会阻止他们使用复杂的密码,使他们的密码更容易被暴力破解,从而降低安全性,也很重要。 />

#10 楼

我认为这取决于登录表单所保护的服务。重要的是要考虑密码管理器可以将登录名限制为安装了密码管理器的设备,而这并非总是服务提供商所同意的。例如,如果该服务是一家银行,希望在丢失或盗窃的情况下为其用户提供锁定卡的机会,则在运行密码管理器的设备也丢失或被盗的情况下,它可能希望保留此特权。 br />

评论


密码管理器如何阻止您登录另一台设备?您的最后一句话还不清楚。

– AakashM
16年7月27日在9:26

正如@AakashM指出的那样,我认为使用密码管理器不会阻止我从其他设备登录。我也可以在该设备上安装pw管理器,记住密码或输入密码。

– BlueCacti
16年7月27日在10:45

您是否要说银行可能不希望用户使用密码管理器,因为如果计算机被盗相同,那么他们将无法登录以注销其卡?如果是这样,则应删除最后一个“ not”,并找到一个明确的短语,而不是“ restrict login to device”。

– David42
16年7月27日在15:40

密码管理器可用于促进难以记忆的密码的使用。因此,使其易于使用至少可以减少用户无需密码管理器即可登录的机会。

–恐龙
16年7月31日在23:11

因此,@ distacle您建议某些银行可能不鼓励其用户使用密码管理器,甚至不使用硬密码,因为...如果他们的银行卡和计算机被盗,它们可能无法登录(在某人上其他设备)以报告盗窃行为。我只是想确保我理解您的建议。

– Spike0xff
16年8月1日在19:02