Domanda:
Perché le caselle delle password sono sempre vuote quando altri dati sensibili non lo sono?
GGMG-he-him
2016-11-05 09:56:18 UTC
view on stackexchange narkive permalink

Per quanto ne so, le caselle delle password e i PIN sono sempre oscurati in qualche modo per impedire alle persone di guardarti alle spalle quando li inserisci. Tuttavia, altre informazioni importanti che digito in un modulo web (numero di carta di credito, numero di previdenza sociale, ecc.) Che vorrei proteggere dal controllo della gomma non vengono quasi mai oscurate.

Come esempio concreto, la digitazione della password di accesso in Steam o Amazon viene correttamente cancellata, ma la digitazione del numero della carta di credito quando si effettua un acquisto viene rivelata come testo in chiaro. Intuitivamente, sembra che tu voglia cancellare tutto ciò che potrebbe essere rubato, inclusi i dati della carta di credito.

C'è qualche motivo particolare per cui di solito vengono nascosti solo le password e nessun altro dato sensibile?

La mia ipotesi sarebbe che sia principalmente tradizione e aspettative degli utenti, i siti Web cancellano solo le password perché gli utenti si aspettano che le password siano vuote poiché è sempre stato così, ma questa è una domanda dannatamente interessante
Le informazioni sulla carta di credito non devono essere segrete, altrimenti come faresti un acquisto senza comunicare i dettagli della tua carta.La password, d'altra parte, è pensata per essere tenuta nascosta, è l'unica informazione che ti consente di autenticarti sul tuo servizio online.
@trallgorm: completamente d'accordo.Nota: la cancellazione delle password ha ricevuto pressioni negative da vari lati (persone dell'interfaccia e infosec) per un po ', se non ricordo male, è principalmente perché rende più difficile l'inserimento di password lunghe e quindi più sicure.Alcuni siti ora forniscono un pulsante per sbloccare la password per questo motivo.
Alcuni siti eseguono campi vuoti diversi dalle password.Il codice di sicurezza della tua carta di credito (CVV2) è il più comune.Questa è l'eccezione piuttosto che la regola.
La maggior parte delle persone usa password di merda che qualcuno potrebbe facilmente vedere e ricordare, ma la maggior parte delle persone non può memorizzare un numero di 16 cifre in un breve lasso di tempo solo di vista.
Solo una parte su questa cosa del "surf sulle spalle".Se metto il mio telefono in registrazione video e ti registra l'accesso al tuo computer, posso capire fotogramma per fotogramma le tue battiture con un grado molto elevato di precisione.Quindi i campi della password vuoti tengono lontane solo le minacce * molto casuali *.
Questa è una domanda senza senso.L'unica risposta possibile può essere "perché è così che l'hanno progettata" in ogni singolo caso, e non è impossibile che tu possa trovare un caso in cui il campo della password * non * non sia stato cancellato, quindi c'è anche una presunta falsa premessaproblema.
http://security.stackexchange.com/questions/127063/is-pin-affective-security-for-credit-cards-considering-its-not-always-needed correlato
@Jase intendi * il tuo * computer in un luogo pubblico?Perché se il proprietario di un computer pubblico volesse quei dati installerebbe semplicemente un leylogger e non avrebbe importanza quali simboli fossero visualizzati.
@paj28 CVV funziona perché è molto breve e, sebbene sia probabile che l'utente lo legga dalla scheda, è generalmente abbastanza piccolo da farti notare che qualcuno lo legge.Ma probabilmente aggiunge pochissima sicurezza
L'immissione di una password davanti a qualcun altro è una situazione comune.L'immissione di un numero di carta di credito o di un numero di assicurazione sociale non lo è.Perché la risposta deve essere complessa?
Sette risposte:
#1
+56
Out of Band
2016-11-05 15:08:37 UTC
view on stackexchange narkive permalink

Non credo che si tratti di informazioni segrete o sensibili, ad esempio "le informazioni segrete sono mascherate e sensibili no". (la distinzione è problematica; anche molti segreti devono essere condivisi).

Penso che le informazioni cc e ssn non siano oscurate per diversi motivi. Non sono un dato di fatto, ma eccone comunque alcuni:

  1. Fare quello che fanno tutti gli altri, senza sorprendere l'utente. Le password sono arrivate molto prima dei moduli Web ed erano già mascherate. Quindi, quando sono stati utilizzati nei moduli di accesso, sono stati anch'essi mascherati. Quando sono arrivati ​​gli affari e l'amministrazione online, l'arte anteriore (moduli cartacei) richiedeva l'immissione non mascherata di informazioni sensibili (ovviamente), quindi i moduli Web hanno fatto la stessa scelta.

  2. Sarebbe molto è facile commettere un errore e inserire un numero sbagliato se non hai visto quello che hai digitato. Nel caso di una password errata, questo è solo leggermente fastidioso e ottieni un feedback immediato; nel caso di altri dati sensibili errati, ciò potrebbe avere ulteriori conseguenze non immediatamente chiare (come una richiesta a un ufficio governativo rifiutata a causa di un SSN sbagliato o un pagamento non andato a buon fine - sebbene nei casi cc e ssn , questo di solito viene riparato controllando se il checksum è corretto e fornendo un feedback immediato in caso contrario)

  3. Molte persone non conoscono il loro numero di cc dalla memoria e dalla copia giù dalla carta di credito effettiva. Quindi il numero è comunque lì per essere visto da uno spettatore; cancellare il campo di immissione non aiuterebbe molto a proteggere il numero alla fine del client e quindi non merita le difficoltà aggiuntive causate da 2.

  4. Impatto: un numero di cc rubato non ha necessariamente lo stesso impatto di una password rubata, soprattutto se si considera che le informazioni rubate guardandosi alle spalle verrebbero molto probabilmente rubate da persone che ti conoscono (colleghi di lavoro, familiari, compagni di classe ecc.) e desidera la tua password per un motivo molto specifico che avrebbe conseguenze personali. OTOH, anche se fossero interessati al tuo numero di cc, non dovresti assumerti il ​​danno finanziario perché la società di cc probabilmente lo coprirebbe. Per lo stesso motivo, non ti dispiace lasciare che un cameriere o un commesso di un negozio vedano la tua carta di credito, anche se potrebbe copiarla e venderla a qualcun altro ...

Il numero 4 potrebbe non essere applicabile ad altri tipi di informazioni sensibili, tuttavia.

Esattamente.I campi oscurati come questi sarebbero un incubo di usabilità.
I numeri delle carte di credito (in realtà le carte _payment_, che includono anche la maggior parte di debito e regalo) hanno un checksum 'Luhn', inoltre nella maggior parte delle transazioni vengono inviati in pochi minuti all'emittente, con nome e CVV2 e / o indirizzo (AVS) e controllati.(US) SSN non ha alcuna ridondanza e in alcune situazioni comuni come un deposito bancario o una richiesta di indennità potrebbe non essere controllata per giorni o settimane, o per niente a causa delle limitazioni su chi può utilizzare i servizi di verifica.Sia SSA che IRS necessitano di interi sistemi per correggere SSN "imprecisi", sebbene ciò includa sia errori che frodi intenzionali.
@PeriataBreatta Non mettere l'UX sulla sicurezza come è stato in passato
@cat Al contrario, rendere l'UX più difficile di quanto deve essere in nome della sicurezza non è nemmeno una buona idea, poiché porta gli utenti a bypassare attivamente la sicurezza per ottenere la funzionalità che desiderano.Deve esserci un equilibrio.
Bruce Schneier ha un'interpretazione interessante di quello che mi piace molto: [Stop Trying to Fix the User] (https://www.schneier.com/blog/archives/2016/10/security_design.html)
@cat Non è vero che "la sicurezza a scapito dell'usabilità va a scapito della sicurezza?"
Almeno nel mio paese, un numero di carta di credito non è un'informazione sensibile (viene persino stampato su ogni ricevuta quando si utilizza la carta nel mondo reale).L'uso del numero in una transazione online di solito non è sufficiente: devi confermare un codice temporaneo ricevuto dallo smartphone.Quindi non c'è bisogno di nasconderlo
"anche molti segreti devono essere condivisi" se è così, allora non sono segreti.Password, CVV, PIN di carte di debito sono segreti, non dovrai mai condividerli poiché forniscono l'autorizzazione a una transazione, solo il proprietario dovrebbe avervi accesso.
Tu ed io possiamo condividere un segreto che non diciamo a nessun altro (io in realtà sono Batman, e solo tu, il mio fedele compagno, lo sapevi fino ad ora).Alcuni documenti sono classificati come "top secret", ma ciò non significa che solo una persona possa accedervi.Le password e i PIN degli account utente sono semplicemente segreti che non devono essere condivisi con nessun altro, come hai correttamente sottolineato (anche se non avrei alcun problema a fidarmi di mia moglie con il mio pin della carta di debito, dato che condividiamolo stesso conto in banca comunque ...).
Questa è la risposta esatta.Sebbene il numero della mia carta di credito sia un'informazione sensibile, non è un'informazione segreta.Una password è qualcosa che solo io conosco.Anche il sito web non conosce la mia password.Mentre conosce la mia carta di credito.La banca conosce il mio numero di carta di credito.Quindi questo non è affatto un segreto.
#2
+29
user1301428
2016-11-05 13:43:45 UTC
view on stackexchange narkive permalink

Questo perché qui abbiamo a che fare con due tipi di informazioni: informazioni sensibili e informazioni segrete .

  • Le informazioni sensibili sono dati che hanno un certo significato dal punto di vista della sicurezza / privacy e che potrebbero sicuramente causare alcuni problemi se caduti nelle mani sbagliate. Tuttavia, dati come il tuo SSN, numero di carta di credito, fotografia ecc. Non sono segreti: una terza parte avrà bisogno di accedervi, sia per elaborare un ordine che hai effettuato o per confermare la tua identità.

  • Le informazioni segrete , d'altra parte, sono informazioni a cui nessuno avrà mai bisogno di avere accesso, per nessun motivo. Nessuno dovrebbe aver bisogno della tua password per fare qualcosa, quindi questo campo è solitamente mascherato.

Idealmente, vorresti che tutto fosse mascherato, ma ci sono problemi di usabilità da considerare se tu fallo. Alla fine della giornata, dovrai sempre scendere a compromessi e l'utilizzo di queste due categorie come filtro è solo un modo comune per farlo.

@PascalSchuppli vero, non dovrebbero.Questo mi ricorda il dibattito sulla crittografia dell'intero database rispetto alle sole colonne sensibili.Ma poi, qualsiasi cosa potrebbe diventare troppo sensibile: personalmente considero il mio cognome più sensibile del mio numero CC, che comunque posso cambiare velocemente, dovremmo mascherare anche nomi e cognomi?
@PascalSchuppli oh giusto, vedo!Gotcha
#3
+24
John Deters
2016-11-05 19:14:27 UTC
view on stackexchange narkive permalink

Ci sono molti problemi in corso nella sicurezza dei dati. Questo è uno di questi.

TL; DR: Incolpa l'industria delle carte di credito.

La causa principale è l'idea sbagliata che dando la tua identità tu stanno anche concedendo la tua autorizzazione . Questa era l'orribile base su cui sono state costruite le carte di credito, ed è per questo che la situazione è così grave come lo è oggi.

La tua identità (numero di carta di credito, SSN, ecc.) non dovrebbe mai essere tenuta segreta, perché chi sei non è un segreto . Non puoi rimanere segreto da un commerciante online, perché deve spedirti la roba che acquisti. Non puoi rimanere segreto da nessun commerciante con una carta di credito perché il commerciante vuole che la tua banca dia loro dei soldi. Non riesci mai a rimanere segreto al fisco. E non vuoi restare segreto al tuo medico, che ha bisogno della tua storia medica per curare i tuoi problemi.

Quando è stato inventato il credito, questo non era un grosso problema. Le persone si conoscevano ed entrambe le parti si fidavano l'una dell'altra nella transazione. Ma il sistema era così incredibilmente facile da abusare che la frode è esplosa fuori controllo.

Le transazioni con carta di credito sono estremamente redditizie. Nel disperato tentativo di impedire alle persone di avere paura di usare le loro carte di credito insicure, il Payment Card Industry (PCI) ha trasferito con successo la colpa ai commercianti, dicendo che "non stanno tenendo al sicuro i numeri della tua carta di credito", mentre scacciò via il fatto che il l'intero sistema è stato costruito su una premessa imperfetta di fiducia. (Attribuisco tutta la colpa all'industria delle carte di credito per aver perpetuato questo pasticcio di sicurezza al fine di preservare i loro profitti.)

La soluzione è separare la tua identità dalla tua autorizzazione. Le persone non devono aver paura di divulgare la propria identità se l'identità è priva di valore senza autorizzazione.

Ma come si concede l'autorizzazione quando esiste la possibilità di un intermediario non affidabile? C'è un modo cattivo e uno buono. Il modo sbagliato è la password. Dimostrando di conoscere un segreto, puoi autorizzare l'uso della tua identità. Ma le password semplici sono problematiche quanto lo sono oggi i numeri delle carte di credito. Se comunichi il tuo segreto al commerciante che poi lo passa alla banca, un uomo in mezzo in qualsiasi punto della catena può copiare il tuo segreto e falsificare la tua autorizzazione.

L'unico buon modo per concedere in modo sicuro la tua autorizzazione è utilizzare challenge-response. Questo risolve l'intero problema, tranne per il fatto che noi umani non possiamo fare una risposta efficace alla sfida nella nostra testa. Questo è stato brillantemente superato dall'introduzione delle chip card e dei protocolli EMV. La carta fa tutto il duro lavoro di accettare la sfida e generare la risposta. Per una maggiore sicurezza, la carta può essere progettata per non generare una risposta valida senza un PIN.

In questo mondo tinto di rosa, non solo non è più necessario proteggere i numeri delle carte di credito, ma non è necessario proteggere la risposta perché è unica per la sfida.

Potremmo arrivarci, un giorno. Ma in questo momento, l'EMV non è ancora perfetto. Poiché può utilizzare solo i piccoli contatti dorati per comunicare (o talvolta RF) e telefoni e computer non hanno la capacità universale di parlare con le chip card, non esiste un buon modo per utilizzare EMV per autorizzare una transazione su un browser web o su un telefono. (Ci sono lettori di chip tascabili in uso da alcune banche europee, ma questi sono dispositivi scomodi che richiedono all'utente di eseguire i passaggi aggiuntivi di digitare un gruppo di cifre come sfida e di inserire la loro risposta.) Quindi, per ora, le transazioni web sono affidarsi ancora in modo insicuro a numeri CVV statici, che sono l'equivalente delle password.

E anche questo non risolve alcun problema non di credito. L'accesso a cartelle cliniche, siti Web e tutto ciò che necessita di autorizzazione presenta lo stesso problema e necessita di una buona soluzione. Esistono molte soluzioni intermedie come OAuth, ma come ha dimostrato la violazione di Yahoo !, non sono buone soluzioni. E qualunque soluzione venga fuori, sarà combattuta in comitati per gli standard da aziende che chiedono a gran voce un pezzo di torta redditizio; governi concorrenti che vogliono controllare e ottenere l'accesso backdoor; aziende tecniche che vogliono costruire l'infrastruttura, ecc. È una conclusione scontata che i compromessi non saranno sia sicuri che interoperabili.

Una volta risolti questi problemi e applicate soluzioni simili all'assistenza sanitaria, il web identità del sito, ecc., potremmo vedere la fine della casella della password mascherata. Gli do almeno 50 anni prima di arrivarci, se mai.

Non ho mai capito l'interruzione delle società di carte di credito che lasciano le loro carte così insicure.Non sei responsabile per acquisti fraudolenti.Sono i soldi della banca, non i tuoi.Perché ti interessa se lo proteggono o no?Massimizzare i profitti e ridurre al minimo i problemi per i clienti è il miglior risultato per entrambe le parti.
"Quindi, per ora, le transazioni web si basano ancora in modo insicuro su numeri CVV statici" ... o 3D Secure, che consente all'emittente della carta di eseguire qualsiasi passaggio di autenticazione desiderato (ma in genere finisce per inserire una password che non viene inviata ail mercante).
@Kat - se le transazioni fraudolente fossero magicamente rilevate automaticamente e restituite a te senza richiedere intervento, sarei d'accordo con te, ma in realtà il risultato è che devi controllare periodicamente i tuoi estratti conto per transazioni non autorizzate e quindi lamentarti (di solito ripetutamente) albanca fino a quando non accettano un rimborso.Possono volerci ore del tuo tempo, per le quali non sarai ricompensato.
@Kat, non considero che le frodi vadano bene, perché quei costi alla fine escono dalle mie tasche in termini di prezzi più alti.
@PeriataBreatta, certo, esiste un'intera famiglia di problemi che la sfida / risposta da sola non risolve (commercianti fraudolenti coinvolti nell'acquisizione / riproduzione, ingegneria sociale, ecc.) E ci sono centinaia di soluzioni personalizzate una tantum per situazioni specifiche.Ma quelli rompono solo il mercato e confondono ulteriormente le acque.Deve emergere uno standard affidabile, ma nulla si è avvicinato.Fino ad allora, dovremo tutti affrontare il problema individualmente, con strumenti sub-par o solo password come Yubikey, Mooltipass, PasswordSafe, OAuth, SMS, Google Authenticator, ecc. Ecc.
@PeriataBreatta Dovresti controllare i tuoi estratti conto indipendentemente dalla sicurezza delle carte, poiché non saranno mai perfetti e anche gli addebiti ben intenzionati possono sbagliare.Non ho mai impiegato più di cinque minuti per contestare una carta e risolverla.Anche le funzioni di sicurezza più secondarie (come cancellare il campo e costringermi a digitarlo più volte) impiegherebbero più del mio tempo.Forse dovresti cambiare banca?
@JohnDeters non è diverso da un negozio che decide cosa bloccare o meno in una custodia.Se implementare più sicurezza costa loro meno, lo farebbero.Anche la sicurezza non è gratuita e spesso costa più della frode o del furto.
@Kat È brutto, quindi a volte, da qualche parte potrebbero capitare brutte cose.Ho sentito una storia nel mio paese, dove questa pratica non è comune, che qualcuno ha chiesto a un amico di pagare qualcosa da un altro paese per lui, e l'amico in seguito ha contestato erroneamente il pagamento.Il suo account è stato immediatamente bannato perché il fornitore di servizi è arrabbiato perché ha ricevuto una multa per questa controversia (senza che nessuno stia effettivamente indagando sulla questione), e lo hanno dichiarato nel loro mandato.Tecnicamente dovrebbe fare le cose sbagliate nei tuoi termini, ma qui è abbastanza inaspettato.
@Kat Se è la banca a mangiare la perdita, nessun problema, ed è esattamente come l'esempio della sicurezza del negozio.Ma il fatto è che stanno costringendo i commercianti ad accettarlo, suppongo.I commercianti potrebbero non pensare che risparmi di più, ma tutte le banche fanno le cose in questo modo e devono trovare un modo per vivere.Quando in realtà non fa risparmiare di più, il costo si rifletterà sul prezzo di tutto ciò che acquisti.
@Kat Idealmente, i commercianti potrebbero addebitare meno se si utilizza una banca che utilizza una sicurezza migliore e non accetta queste controversie o le gestisce meglio.Ma questo è sospetto, scomodo, difficile da pubblicizzare, causa sorpresa e molti altri fastidi, tutti perché vengono confrontati con l'attuale modo "normale" scelto dalle banche, e non perché sono davvero più economici in condizioni ideali.Potrebbero essere effettivamente più economici in condizioni ideali, ma chi lo sa.Non importa tutto per le banche.
@Kat Anche se non ci sono tali problemi, qualcuno dovrebbe essere libero di mettere in discussione le banche e, in teoria, potrebbe potenzialmente creare banche migliori nel loro mandato.Se questo dovrebbe essere ridicolo, non ci si dovrebbe aspettare che il mercato sia abbastanza libero da essere in uno stato ottimale, quindi dovresti anche pagare qualcosa di più.
solo per estendere la parte sulla risposta alla sfida: quei dispositivi che le banche usano in europa hanno un modo per trasmettere i dati tramite codice tremolante per evitare di digitare quelle lunghe catene di numeri.
#4
+3
Jared Smith
2016-11-05 23:43:25 UTC
view on stackexchange narkive permalink

Anche se la risposta di User1301428 fa un ottimo lavoro spiegando la differenza tra password e altri tipi di dati sensibili, c'è anche un motivo tecnico: tag di input HTML (e qualunque sia l'equivalente nelle altre piattaforme).

Poiché Internet Explorer 2 (nel 1995, e per estensione la prima versione di ogni altro browser) l'umile tag di input ha supportato type = "password" , che praticamente su tutti i browser maschererà il testo. Tutto ciò che ricrea il comportamento di quel tag da zero perché i motivi in ​​genere simulano anche quel comportamento.

Ma non esiste il tipo "carta di credito" o "ssn". Quindi, mentre lo sviluppatore lo ottiene gratuitamente come parte della piattaforma web (o altra), dovrebbe utilizzare il tipo di password per loro (violando l'aspettativa ormai comune di avere più caselle di input per suddividere il numero) o implementarlo a mano per altri dati. Poi c'è tutta la faccenda di digitare correttamente un numero di 9-16 cifre quando non puoi vedere le cifre e ... sì.

L'unica differenza tra `type = text` e` type = password` è se il campo è mascherato.L'autore HTML potrebbe usare "type = password" su un campo CC o SSN se lo desidera.Non c'è motivo tecnico per cui non possono mascherare quei campi.Questa risposta è completamente sbagliata.
@ScottJ Una volta ho chiesto a Chrome di salvare il numero della mia carta di pagamento come "nome utente" e il CVV come "password" perché questa è l'impressione che ha ottenuto dal modulo.Molto sconcertante.
@newcoder Quelle sono quelle cose, anche se.
@ScottJ Eppure `type = masked` sarebbe molto più invitante da usare per campi non password rispetto a` type = password`.Chiaramente non è il vero motivo per cui solo le password sono mascherate, ma la risposta è un buon punto che quasi certamente ha contribuito a ciò.
oggigiorno molti framework di sviluppo offrono GRATUITAMENTE widget personalizzati che formattano informazioni specifiche come numero di telefono, codice postale;e così per informazioni sensibili come il numero della carta.L'implementazione è ben consolidata sia sul lato client che su quello server.Voglio dire, non c'è molto lavoro da mettere, in un modulo web, un campo di tipo SSN distinguibile.
@Luc quindi il motivo per cui le password non sono mascherate è perché altri autori HTML erano confusi quanto @Jared Smith su `type = password`.È ragionevole, ma non lo rende una buona risposta.Se questa risposta dicesse "Poiché gli autori HTML non hanno capito" type = password ", potrebbe essere una buona risposta.
@Jared Smith la tua modifica del 9 novembre mostra una continua confusione su `type = password`.Non c'è motivo per cui l'autore HTML non possa avere più caselle di input per suddividere il numero, il tutto usando `type = password`.Questa risposta è ancora completamente sbagliata.
#5
+2
Wildcard
2016-11-08 09:11:32 UTC
view on stackexchange narkive permalink

Ci sono due ragioni / differenze immediate che vedo. Il primo è menzionato di sfuggita nell'eccellente risposta accettata, ma non ho visto il secondo punto menzionato qui.

  1. Una password sbagliata verrà immediatamente notato e rifiutato.

    A differenza di un numero di carta di credito o di un SSN immesso in modo errato con potenziali conseguenze, un modulo di accesso compilato con un password darà un feedback immediato, spesso senza altra conseguenza che dover inserire di nuovo la password.

    Ovviamente, questo è di per sé fastidioso; quindi alcuni siti web ora offrono un'opzione "mostra password" come miglioramento dell'usabilità.

    Tuttavia, rispetto allo scoprire diversi minuti o ore dopo che l'acquisto non è andato a buon fine (a causa di un errore durante l'inserimento dei dati della carta di credito perché il campo della carta di credito è stato cancellato), o dopo aver scoperto mesi dopo che la tua dichiarazione dei redditi è stata rifiutata perché il tuo SSN è stato inserito in modo errato (perché il campo è stato cancellato), il fallimento è una conseguenza piuttosto banale.

  2. Quando si imposta una password gli utenti si aspettano che venga richiesto di immetterla due volte.

    Questo è il fattore attenuante quando si cancella il campo della password: puoi inserire la password due volte, per essere sicuro di averla inserita correttamente. (Ovviamente questo si applica solo all ' impostazione della password in primo luogo, quando non c'è niente con cui confrontare il valore inserito, quindi non puoi avere una "password sbagliata" rifiutata.)

    Immagina se il campo della carta di credito venisse cancellato. Vorresti inserire i dati della tua carta di credito due volte, entrambe alla cieca? (Non lo farei.) Questo sarebbe un miglioramento rispetto all'inserimento cieco dei dati della carta di credito solo una volta , ma sarebbe un bel passo indietro rispetto all'inserimento delle informazioni e al controllo di averle inserite correttamente - come puoi fare oggi.

#6
-1
Micheal Johnson
2016-11-05 22:08:45 UTC
view on stackexchange narkive permalink

È solo una pratica comune. Ci sono molte volte in cui preferirei che una password fosse visibile. Allo stesso modo, gli utenti si confonderanno se non riescono a vedere il proprio numero di carta mentre lo digitano. Non c'è altro motivo.

Tieni presente che alcuni siti web / browser web in questi giorni consentono di "smascherare" un campo password se l'utente preferisce vedere la propria password ed è a proprio agio che nessuno si guarda alle spalle.

#7
-3
user23013
2016-11-06 14:50:08 UTC
view on stackexchange narkive permalink

In un sistema ben progettato, le password non dovrebbero essere memorizzate in testo normale sul server. L'unica situazione in cui potresti vedere la password è quando la inserisci. E potresti farlo ovunque quando vuoi accedere al tuo account. Cioè, in ogni situazione in cui l'utente potrebbe essere in grado di vedere le proprie password, si dovrebbe presumere che potrebbero esserci altre persone in giro.

Per altre informazioni, è molto probabile che le persone le inseriscano o le leggano in modo sicuro luoghi senza nessuno intorno. In molti casi l'utente inserisce queste informazioni una sola volta e utilizza il sito web per molto tempo. E quando l'utente fa clic su questa opzione utilizzando queste informazioni, dovrebbe essere già pronto.

TL; DR: Non è pratico sbarazzarsi di tutti intorno a te quando inserisci la password.

Non sto dicendo che non dovrebbero essere cancellati. Ma questa potrebbe non essere la loro massima preoccupazione, a seconda delle situazioni.

Questa non sembra una risposta alla domanda ma un commento su qualche altra risposta?
@schroeder Ehm, su quale risposta?Non è pratico sbarazzarsi di tutti intorno a te quando inserisci la password.È piuttosto pratico per inserire / visualizzare altre informazioni.Quindi vengono trattati in modo diverso, come la domanda posta?
Perché parli di archiviazione delle password?La maggior parte delle parti rilevanti per questa risposta sono già coperte da altre risposte.Non riesco a vedere in che modo questa risposta è correlata alla domanda e in che modo differisce dalle altre risposte.Penso che potresti dover collegare alcuni punti.
I siti Web @schroeder non visualizzano le password sulle loro pagine, mentre potrebbero visualizzare altre informazioni.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...