Frage:
Gibt es einen Grund, das Einfügen eines Passworts bei der Anmeldung zu deaktivieren?
IAmJulianAcosta
2016-07-27 07:31:23 UTC
view on stackexchange narkive permalink

Heute habe ich mich angemeldet, um meine Handyrechnung zu bezahlen, und festgestellt, dass auf der Website die Einfügefunktion im Kennwortfeld deaktiviert ist.

Ich bin ein Webdev und weiß, wie man repariert dies, aber für normale Benutzer ist es WIRKLICH ärgerlich, ein zufälliges Passwort wie o\&$t~0WE'kL eingeben zu müssen.

I. Wissen Sie, dass es normal ist, dass Benutzer beim Erstellen eines Kontos das Kennwort schreiben. Gibt es jedoch einen Grund, das Einfügen von Kennwörtern während der Anmeldung zu deaktivieren?

Warum ist es Ihrer Meinung nach "normal, dass Benutzer beim Erstellen eines Kontos das Kennwort schreiben"?das ist genau das gleiche: es behindert die Verwendung von Passwort-Managern (die zum Beispiel gute neue Passwörter generieren, die beim Erstellen eines Kontos verwendet werden sollen)
Beachten Sie, dass das Blockieren von Skripten manchmal hilfreich sein kann, sie jedoch möglicherweise vom selben Server wie die tatsächlich gewünschten Skripte bereitgestellt werden, wodurch eine einfache Noscript-Lösung etwas weniger einfach wird.Das Einfügen, Anmelden und anschließende Drücken von "vorübergehend zulassen ..." kann Ihnen helfen.
Eine Sache, die mir auf einigen Websites aufgefallen ist, zum Beispiel bei der Anmeldung von Microsoft, ist, dass sie das "Einfügen" im Kontextmenü deaktiviert haben, aber Sie können "STRG / CMD + v" verwenden, um das Kennwort einzufügen.
Ich habe die Theorie gehört, dass "wir Benutzer darin schulen möchten, ihr Passwort von der anfälligen Zwischenablage fernzuhalten" ... aber wenn dies kompromittiert wurde, ist die Tastatur sicherer?
@DaniEll Ich würde denken, dass sie das Einfügen von Passwörtern beim Erstellen eines Kontos deaktivieren, damit die Leute nicht das falsche Passwort in das erste Feld schreiben und das falsche Passwort in das zweite Feld kopieren ...
Ganz zu schweigen davon, dass es den Benutzer nicht daran hindert, sein Passwort von überall zu * kopieren *. Dadurch wird die Zwischenablage nicht sicherer.Bis der Benutzer feststellt, dass das Einfügen nicht funktioniert, ist es zu spät.
Nein, nicht auf Abruf.Klingt nach der Idee eines Finanzinstituts für Sicherheitsexperten.Wie * hey, beschränken wir die Länge auf 15, aus [insert-bad-reason] *.
@Dupontrocks11 Normalerweise können Sie in keinem System Text * aus * einem Kennwortfeld kopieren, sodass Sie nicht das falsche Kennwort vom ersten in das zweite Feld kopieren können.Am nächsten können Sie das falsche Passwort von einer anderen Stelle in beide Felder einfügen.
Ich finde es äußerst ärgerlich, wenn ich kein Passwort einfügen kann. Wenn Ihr Unternehmen also Leute ärgern möchte oder das Risiko besteht, dass Benutzer ihre Passwörter in etwas ändern, das einfach einzugeben ist (und leichter zu hacken / zu erraten ist).
Was ist mit der Click-and-Drag-Methode?Ich finde, das funktioniert, wenn Schriftarten nicht eingefügt werden. Es ist nicht hilfreich für das Autopasting, aber es ist gut für bestimmte Situationen, z. B. wenn Sie keine Vorschau der eingegebenen Daten anzeigen können.Es beseitigt diesen kleinen Reizstoff: "Habe ich das richtig eingegeben?"Wenn ein ganzes Durcheinander von Passwörtern wie dieser Motor zusammengefügt wird, kann man dann nicht einfach markieren und klicken und ziehen, um "einzufügen"?Verzeihen Sie mir, wenn ich mich irre.--BLBU
Großartige Idee.Deaktivieren Sie sogar alle Pasten.Sie sollten die gesamte Zwischenablage überfluten und auch die Hardwaretastatur deaktivieren.Deaktivieren Sie außerdem den Monitor und erzwingen Sie das Kennwortschema, das sich bei jedem Sitzungsende ändert / zurücksetzt. Dabei sind 10 Mal hintereinander 5 regionale Hindi-Symbole mit einer Länge von 256 Zeichen erforderlich, wobei Sie ein zuvor verwendetes Kennwort nicht wiederholen können.Wenn sich jemand innerhalb von 2 Tagen nicht angemeldet hat, setzen Sie ihn trotzdem zurück.Und ändern Sie ihren Benutzernamen.Um es wirklich sicher zu machen, aktivieren Sie die 2-Faktor-Authentifizierung, wobei der zweite Faktor ein zertifizierter [Schneckenpost] -Brief an die Adresse ist, die in Ihren Sozialversicherungsinformationen angegeben ist;)
@dhaupin: Haben Sie das Anmeldeformular für meine Bank entworfen?
@MarkKCowan lol Ich wünschte, ich könnte eines Tages für eine Bank arbeiten.Ziehen Sie sie aus den frühen 90ern heraus und führen Sie sie mit den Grundkonzepten von "Web2.0" aus den frühen 2000ern für 180.000 USD / Jahr ein.Benötigen Sie Konzepte nach 2011?Huch, das ist beängstigend / blutig.Machen Sie es sich also gemütlich, Sie werden ein älteres CTO + Board sein - denken Sie an Ihre Herzprobleme, seien Sie nicht zu aufgeregt.Langsam und leise ... mach dir keine Sorgen um diese MD5-Algen, aber behalte den Passwort-Wahnsinn, denn wir sind uns alle einig, dass Graubärte es am besten wissen.
@plainclothes: "Ich habe die Theorie gehört, dass" wir Benutzer darin schulen wollen, ihr Passwort von der anfälligen Zwischenablage fernzuhalten "... aber wenn dies kompromittiert wurde, ist die Tastatur sicherer?"Während dies wahr sein könnte, könnte der Hauptpunkt darin bestehen, eine leicht vermeidbare Spur forensischer Beweise zu verhindern, indem sie aus der Zwischenablage entfernt werden?
Können Sie eine Frage stellen und beantworten, wie Sie dies umgehen können?Und dann hier verlinken.Ich würde sowohl die Frage als auch die Antwort abstimmen.
Zehn antworten:
#1
+260
tlng05
2016-07-27 07:47:25 UTC
view on stackexchange narkive permalink

Das Nichtzulassen eingefügter Kennwörter bietet keinen wesentlichen Sicherheitsvorteil. Im Gegenteil, es wird wahrscheinlich die Sicherheit schwächen , indem von der Verwendung von Passwort-Managern zum Generieren und automatischen Ausfüllen zufälliger Passwörter abgeraten wird. Während einige Passwortmanager in der Lage sind, Einfügungsbeschränkungen zu überschreiben, besteht der Punkt immer noch darin, dass Benutzer nicht gezwungen werden sollten, ihr Passwort manuell einzugeben.

Auszug aus einem relevanten WIRED-Artikel:

Websites, bitte hören Sie auf, Kennwortmanager zu blockieren. Es ist 2015

Aber was verrückt ist, ist, dass einige Websites im Jahr 2015 absichtlich eine Funktion deaktivieren, mit der Sie stärkere Kennwörter einfacher verwenden können - und viele tun dies, weil sie es falsch argumentieren macht Sie sicherer.

Hier ist das Problem: Auf einigen Websites können Sie keine Kennwörter in Anmeldebildschirme einfügen, sodass Sie stattdessen gezwungen werden, die Kennwörter einzugeben. Dies macht es unmöglich, bestimmte Arten von Passwort-Managern zu verwenden, die eine der besten Verteidigungslinien für die Sperrung von Konten darstellen.

Ein weiterer Artikel, der sich mit "Abwehrmechanismen" dieser Praxis befasst: https://www.troyhunt.com/the-cobra-effect-that-is-disabling/
Klingt so, als wäre ein guter alter * Name & Shame * in Ordnung.Wer zum Teufel macht das absichtlich?
@AndrewHoffman PayPal hat es eine Weile gemacht.Ich bin mir nicht sicher, ob sie zur Besinnung gekommen sind.
Fidelity und eClinicalWeb sind zwei Websites, die ich regelmäßig (nicht nach Wahl) benutze und die Passwortmanagern scheinbar absichtlich das Leben schwer machen.Sie blockieren das Einfügen nicht, tun jedoch alles, um Kennwortmanager auf bizarre Weise zum Scheitern zu bringen.
Könnte schlimmer sein.Für die .gov-Site zum Kauf von T-Rechnungen war die Bildschirmtastatur mit zufälliger Buchstabenplatzierung für den Maustyp erforderlich.Völlige Folter für ein zufälliges sicheres Passwort, und danach habe ich es mit greasemonkey behoben.
@KevinKrumwiede PayPal scheint das Problem zumindest für mich umgekehrt zu haben.Wenn ich versuche, LastPass automatisch auszufüllen, wird mir mitgeteilt, dass mein Passwort falsch ist. Wenn LastPass mein Passwort in meine Zwischenablage kopiert und ich es manuell einfüge, funktioniert es einwandfrei.
Ich kann es nicht ertragen, wenn ich mein Passwort nicht "einfügen" kann.Als begeisterter Benutzer des Passwort-Managers habe ich nur für diese Websites ein Passwort.Es ist nicht sicher und nicht stark.Im Wesentlichen könnte ich genauso gut das Wort Passwort verwenden.Ich halte diese gesamte Site aus diesem Grund auch für unsicher.
Wenn Sie Chrom verwenden, genießen Sie [nicht mit Paste f ***] (https://chrome.google.com/webstore/detail/dont-fuck-with-paste/nkgllhigpcljnhoakjkgaieabnkmgdkb?hl=de), weil ernsthafte Websites, nicht mit Paste f ***.
Nur zu sagen, aber "es ist [aktuelles Jahr]" ist kein Argument
#2
+106
RommelTJ
2016-07-27 00:57:07 UTC
view on stackexchange narkive permalink

Durch Deaktivieren des Einfügens eines Kennwortfelds wird ein " Cobra-Effekt" eingeführt. Ein Cobra-Effekt "tritt auf, wenn ein Lösungsversuch das Problem tatsächlich verschlimmert."

Troy Hunt hat kürzlich einen Artikel geschrieben, in dem er ihn ausführlicher erklärt. Es ist im Wesentlichen ein Sicherheitstheater, wie es auf Flughäfen passiert, um "uns sicherer zu machen". Troy Hunt nennt es einen Cobra-Effekt, da er die Verwendung sicherer Kennwörter mit 50 Zeichen deaktiviert, die von einem Kennwortmanager eingefügt werden. Im besten Fall werden Benutzer gezwungen, Kennwörter zu erstellen, die leicht zu merken und damit hackbarer sind.

Einige sagen, dass Sie dadurch sicherer werden, weil verhindert wird, dass Ihre Zwischenablage von Malware kopiert wird, aber sie ignorieren die Tatsache Wenn Malware dies bereits kann, können sie auch alle Arten von Tastendrücken kopieren, nicht nur Strg + V. Es ist sinnlos.

Aus UX-Sicht ist es nur ärgerlich, wie Sie sagen. Aus UX-Sicht ist es also ärgerlich und macht uns nicht sicherer. Diese "Funktion" hat keinen Sinn.

Obwohl ich Ihrer Antwort im Allgemeinen zustimme, stimme ich Ihrer Meinung zur Sicherheit in der Zwischenablage nicht zu.Der Flash Player kann beispielsweise auf die Zwischenablage zugreifen, aber ich denke, er kann Ihre Tastendrücke nicht protokollieren (zumindest solange das Flash-Objekt nicht fokussiert ist).
Wenn [Adobe] (http://help.adobe.com/en_US/as3/dev/WS2F6A31B9-1AE6-4b23-9C12-57A33F4F0516.html) korrekt ist, kann der Flash Player die Zwischenablage nur lesen, wenn der Benutzer aktiv etwas aus einfügtes.
Ehrlich gesagt, wenn Ihre Entschuldigung dafür, dass Sie keine Passwörter auf Ihrer Website einfügen können, "wir sind besorgt darüber, dass böswillige Flash-Plugins Ihre Anmeldeinformationen stehlen" lautet, frage ich mich wirklich, warum Sie böswillige Flash-Plugins auf Ihrer Website überhaupt zulassen.Es gibt zwei Möglichkeiten, wie eine Website dies erreichen kann: durch Werbung und durch Kompromisse bei der Website, und diese tun normalerweise viel Schlimmeres, als einen (normalerweise eindeutigen) Berechtigungsnachweis für eine Website zu stehlen.
Ich stimme dem Geist dieser Antwort zu, aber es ist falsch zu sagen, dass sie zu 100% sinnlos ist.Es gibt * gibt * Szenarien, in denen Kompromisse in der Zwischenablage auftreten können, Keylogging (oder andere Angriffe) jedoch nicht oder weniger wahrscheinlich sind.Beispiel: Ein gesperrtes Kiosk-Betriebssystem oder ein opportunistischer Angreifer, der zufällig Zeuge einer Kennworteinfügung wird.
#3
+33
thomasyung
2016-07-26 05:18:42 UTC
view on stackexchange narkive permalink

Nein, dafür gibt es keinen vernünftigen Grund. Es ist schlecht UX, schlicht und einfach. Das Deaktivieren des Einfügens in ein Kennwortfeld führt tatsächlich zu fehlerhaften Kennwörtern. Kennwortmanager löschen die Zwischenablage nach dem Einfügen automatisch, sodass dieses Argument nicht mehr gültig ist.

Einige Passwort-Manager * Ich verwende LastPass, einen ziemlich großen Passwort-Manager, der meine Zwischenablage nicht löscht
@DasBeasto funktioniert, jedoch nicht nach dem Einfügen, sondern nach einer bestimmten festgelegten Kopierzeit.Außerdem wird die Zwischenablage beim Beenden der Anwendung gelöscht
Selbst wenn es stimmt, dass Kennwortmanager nach dem Einfügen die Zwischenablagen löschen, verwendet nicht jeder Kennwortmanager, und die Benutzer kopieren und fügen sie auch aus anderen Quellen ein.
Was ist mit dem Erkennen der Paste im Javascript im Anmeldeformular und dem anschließenden Löschen der Zwischenablage?Ist Javascript leistungsfähig genug?
@beppe9000 Warum überhaupt mit der Zwischenablage des Benutzers schrauben?Sie sind der Benutzer, vermutlich wissen sie, was sie tun, und sind am besten in der Lage, ihre eigenen Passwörter zu verwalten.Vielleicht haben sie ein System, das etwas Intelligenteres tut als das, was die Webseite tut.Was ist, wenn sie nur sehen möchten, was ihr Passwort-Manager zur Behebung eines technischen Problems eingefügt hat?
@Sqeaky Ich meine, wenn sie sich unbedingt mit der Zwischenablage des Benutzers anlegen wollen, sollten sie dies * nach * einem Einfügen tun.
#4
+27
Philipp
2016-07-27 17:29:42 UTC
view on stackexchange narkive permalink

Das wichtigste Sicherheitsargument, um copy&pasting von Kennwörtern nicht zuzulassen, ist, dass das Kennwort anschließend in der Zwischenablage des Benutzers verbleibt. Dies kann dazu führen, dass das Kennwort versehentlich in einem nicht verwandten Kontext angezeigt wird. Zum Beispiel, wenn der Benutzer es dann versehentlich in ein anderes Eingabefeld in einer anderen Anwendung (Web oder auf andere Weise) einfügt. Ein anderes mögliches Szenario könnte sein, wenn der Benutzer sein Gerät verlässt, ohne es zu sperren, und jemand anderes Strg + V drückt, um zu überprüfen, was sich in seiner Zwischenablage befindet.

Dies ist jedoch ein sehr geringes Risiko im Vergleich zu enorme Sicherheitsvorteile haben Passwort-Manager. Außerdem verfügen Kennwortmanager häufig über die Funktion, die Zwischenablage einige Sekunden nach dem Kopieren eines Kennworts automatisch zu löschen, wodurch dieses Risiko erheblich verringert wird.

Es gibt auch ein großes Problem mit dieser Logik: Sie hätten Ihr Passwort bereits kopiert, bevor Sie herausgefunden haben, dass Sie es nicht einfügen können ...
@AntP Sie werden diesen "Fehler" jedoch nur machen, wenn Sie zum ersten Mal versuchen, sich mit Ihrem Passwort-Manager auf der Website anzumelden, und nicht jedes Mal, wenn Sie die Anwendung verwenden.
Richtig ... Meistens, weil ich mich kein zweites Mal einloggen würde :)
Ja, ich denke, das wirklich fehlgeleitete Motiv hier ist die Annahme, dass diese Praxis Benutzer "schult", ihr Passwort niemals in die Zwischenablage zu kopieren, wenn alles, was sie wirklich tun wird, sie dazu zwingt, es auf dieser bestimmten Site zu umgehen.
Es wird lediglich die Sicherheitsanfälligkeit vom Zwischenablage-Logger zum Keylogger verschoben.Was selbst eine rote Fahne ist, dass Entwickler nicht viel über Sicherheit wissen und die Seite vermieden werden sollte :)
@Philipp Nur wenn Sie sich häufig genug anmelden, um sich daran zu erinnern, dass es nicht funktioniert.Wenn Sie sich nur einmal im Monat oder dreimal im Jahr anmelden, werden Sie wahrscheinlich vergessen und es erneut versuchen oder es sogar noch einmal versuchen, in der Hoffnung, dass sie die "Funktion" loswerden.
Ein guter Passwort-Manager löscht die Zwischenablage nach einer bestimmten Zeit. Meiner ist dafür konfiguriert, dies nach 15 Sekunden zu tun
#5
+12
Superbest
2016-07-28 01:48:43 UTC
view on stackexchange narkive permalink

Es gibt Gründe dafür, wenn auch nicht sehr gute.

Grundsätzlich wird vom Kopieren und Einfügen abgeraten. Dies bedeutet, dass Benutzer es weniger wahrscheinlich in ihrer Zwischenablage vergessen und es versehentlich durchgesickert sind. Auch wenn sie es einfügen, bedeutet dies, dass sie es irgendwo gespeichert haben (wie in einer Textdatei), was nicht so sicher ist wie ihr Gehirn. Wenn die Textdatei also unbrauchbar wird, verlassen sie sich möglicherweise mehr auf ihren Speicher.

Natürlich machen diese eigentlich keinen Sinn. Viele Leute, die kopieren und einfügen, tun dies über ihren Passwort-Manager, der sehr gut geschützt ist. Passwortmanager löschen automatisch auch die Zwischenablage, und wie an anderer Stelle erwähnt, wie hoch ist die Wahrscheinlichkeit, dass Ihr Benutzer einen Keylogger hat, der die Zwischenablage lesen kann, aber nicht die Tastendrücke?

Für mich zeigen solche Dinge eine Art Verachtung für die Intelligenz des Benutzers. Es heißt im Grunde: "Sie sind zu dumm, um Ihr Passwort nicht zu stehlen. Sie sind zu dumm, um einfache Sicherheitsrichtlinien zu befolgen. Wir werden Ihnen nur dieses Babygeschirr umschnallen, um Sie vor sich selbst zu schützen." Bedenken Sie jedoch, dass der Diebstahl Ihrer Anmeldedaten eher auf einen Datenverstoß auf der Serverseite als auf ein Leck in der Zwischenablage auf der Clientseite zurückzuführen ist. Ich versuche, solche Websites nach Möglichkeit zu vermeiden, da sie mich glauben lassen, dass ich nicht die richtige Zielgruppe für die Website bin.

Glücklicherweise emulieren heutzutage viele Passwortmanager nur Tastendrücke anstatt direkt Einfügen, also am Ende ist der Witz auf ihnen.

#6
+9
Dan Henderson
2016-07-28 04:07:12 UTC
view on stackexchange narkive permalink

Ich kann mir tatsächlich genau einen guten Grund vorstellen, das Einfügen von Passwörtern zu verbieten. Beim erstmaligen Festlegen oder Ändern Ihres Passworts.

Der Grund dafür ist, dass es eine geringe Wahrscheinlichkeit gibt, dass Sie Ihr Passwort aus irgendeinem Grund nicht in die Zwischenablage kopiert haben, als Sie dachten, dass Sie es hatten, und so weiter Das Einfügen in das Passwortfeld ist eigentlich genau der Unsinn, der vorher in Ihrer Zwischenablage war. Da das Kennwortfeld maskiert ist, können Sie nicht wissen, dass Sie gerade

826 W. Main St. anstelle von

Bubblez84-l0ve!
oder
h*7dn$l83k&(4;p

wie Sie dachten Das war ein echtes Problem, wenn Sie das nächste Mal versuchen, sich anzumelden.

Na und?Es erfolgt eine Kennwortwiederherstellung.Außerdem werden Sie wahrscheinlich auch dieses Passwort in den permanenten Speicher einfügen, bevor / nachdem Sie es auf der Website festgelegt haben, und Sie sollten es entweder bemerken oder es trotzdem haben.
@akostadinov Wenn Sie (Sie dachten) das Passwort * von * irgendwo kopiert haben, ist es unwahrscheinlich, dass Sie besondere Anstrengungen unternehmen, um es fast zur gleichen Zeit auch * in * einen Klartextbereich einzufügen.Es sei denn, Sie sind wie ich und haben die Situation aus erster Hand erlebt, in der Sie die Maßnahmen ergreifen, die etwas kopieren sollen, aber nicht, * und * haben erkannt, dass dies geschehen ist.
Eine gute Möglichkeit, dieses Problem zu beheben, besteht darin, die Maskierung der Kennwörter zu beenden.In den meisten Situationen bietet es nur sehr wenig Sicherheit.
@pipe Ich bin bei dir.Es hilft nur dann wirklich, wenn Sie sich in einem öffentlichen Raum befinden und / oder wahrscheinlich immer jemand über Ihre Schulter schaut.Die Option, das Passwort preiszugeben (was in letzter Zeit tatsächlich zu einer Sache zu werden scheint), ist völlig in Ordnung.Oft haben Benutzer nicht jemanden, der buchstäblich über die Schulter schaut.Und außerdem, wenn jemand sie beobachtete, dann ist es nicht so, als würde das Maskieren so viel helfen.Die beobachtende Person kann auch notieren, was Sie eingeben, oder auch sehen, was Sie kopiert haben.Sie werden sich nicht so wahrscheinlich daran erinnern, aber ... die Situationen sind auch nicht so wahrscheinlich.
@pipe ist bei Screencasts oder Präsentationen sinnvoll.Es sei denn natürlich, der Passwortinhaber ruft dem Moderator das Passwort kurz vorher zu.
"826 W. Main St."als Passwort hat 66 Entropiebits "Bubblez84-l0ve!"hat 76 und "h * 7dn $ l83k & (4; p" hat 64. Abgesehen davon, dass Sie keine Ahnung haben, wie Ihr Passwort lautet, könnten Sie in Bezug auf die Schwierigkeit, es zu erraten, schlechter abschneiden.
@pipe Eine Ausnahme bilden mobile Geräte.Die meisten Soft-Tastaturen passen ihre Vorschläge automatisch an Ihre Eingabe an. In der Regel wird jedoch die Erfassung dieser Telemetrie bei der Interaktion mit maskierten Feldern unterdrückt.
@VLAZ Sie würden nicht sehen, was sie kopiert haben.Mit meinem Passwort-Manager kann ich das Passwort generieren, kopieren und einfügen, ohne dass es mir jemals mitgeteilt wird.Ich weiß nicht, ob das eine gute Idee ist, aber ich kann.
#7
+2
securityPM
2016-07-28 23:30:15 UTC
view on stackexchange narkive permalink

Ich bin Produktmanager für Online-Sicherheit in einem sehr großen Unternehmen.

Ich hatte heute tatsächlich ein Meeting zum Deaktivieren des Einfügens von Passwörtern. Wir erlauben im Moment das Einfügen von Passwörtern, denken aber darüber nach, diese zu ändern.

Es gibt verschiedene Perspektiven, die Sie für diesen Ansatz verwenden können, und die Vor- und Nachteile können je nach Anwendungsfall, Sicherheit Ihrer Website und Verwendung von 2FA vollständig variieren.

Persönlich würde ich das Einfügen von Passwörtern für Websites, die nur das Benutzername &-Passwort für die Anmeldung verwenden, nicht deaktivieren.

Ich denke in unserem Fall aus mehreren Gründen darüber nach, es zu deaktivieren

  • Die Stärke Ihres Passworts macht Sie in unserem Fall nicht sicherer. Ja, ich weiß, wir sagen den Leuten seit Ewigkeiten, dass sie ein einigermaßen sicheres Passwort wählen sollen, aber am Ende hilft Ihnen das nicht ein bisschen, wenn Ihr Computer mit Malware infiziert ist. Malware ist es egal, ob Ihr Passwort "12345" oder eine super komplizierte 100-Zeichen-Chiffre ist. Es stiehlt es entweder oder übernimmt Ihre Sitzung.

  • Wir sind nicht dem Risiko von Brute-Force- oder Passwort-Vermutungen ausgesetzt. Es gibt Möglichkeiten, dem entgegenzuwirken, was in unserem Fall vorhanden ist.

  • Es gibt verhaltensbiometrische Lösungen, bei denen Profile auf der Grundlage der Tastendynamik usw. erstellt werden, mit denen mit hoher Sicherheit festgestellt werden kann, ob ein Benutzer, der die Anmeldeinformationen eingibt, tatsächlich der Benutzer ist wir erwarten. Anmeldeinformationen sind wahr oder falsch. Wenn jemand Ihre Anmeldeinformationen hat, kann er sich authentifizieren. Aus diesem Grund möchte ich wissen, ob die Person, die die richtigen Anmeldeinformationen eingibt, tatsächlich die Person ist, von der wir erwarten, dass sie sie kennt. Benutzername und Passwort müssen jedes Mal während des Anmeldevorgangs eingegeben werden, daher sind diese Felder sehr interessant, um zu überprüfen, ob eine solche Lösung in der Organisation bereitgestellt wird. Dies ist nicht möglich, wenn jemand sein Passwort kopiert / einfügt.

Ich habe mich noch nicht entschieden, es in unserem Fall zu deaktivieren. Wie immer müssen wir ein Gleichgewicht zwischen Benutzerfreundlichkeit und Sicherheit halten.

In meinen Augen gelten Ihre Argumente nicht."Die Stärke Ihres Passworts macht Sie in unserem Fall nicht sicherer."- Warum hast du dann überhaupt Passwörter?Und wenn ich immer sichere Passwörter wähle (z. B. mit einem pw-Manager), warum sollte ich dann eine Ausnahme für Ihre Website machen?
"Wir sind nicht dem Risiko von Brute-Force- oder Passwort-Raten-Angriffen ausgesetzt."- Brute-Force-Angriffe werden mit einem Skript ausgeführt, das Daten direkt an Ihren Server sendet, nicht mit einem Browser.Das Deaktivieren des Einfügens stört Ihre legitimen Benutzer, nicht Hacker.
"Es gibt verhaltensbiometrische Lösungen, bei denen Profile basierend auf der Dynamik von Tastenanschlägen usw. erstellt werden."- Was würden Sie tun, wenn ein Benutzer korrekte Anmeldeinformationen mit "falscher Dynamik" eingibt?Zugriff verweigern?Und wenn ich komplexe Passwörter verwende, neige ich sehr dazu, sie falsch zu tippen und erneut zu tippen.Ich denke, Sie würden niemals zweimal dieselbe "Dynamik" von mir abgeben.
@Dubu Ich vermute, dass korrekte Anmeldeinformationen mit falscher Dynamik zu einer Identitätsherausforderung führen würden, wie folgt: * Biometrische Daten stimmen nicht mit dem Benutzer "Dubu" überein.Sekundäre Überprüfung erforderlich.Bitte [beantworten Sie diese Sicherheitsfrage / geben Sie den Code ein, den wir Ihnen gerade geschrieben haben / überprüfen Sie Ihre registrierte E-Mail-Adresse auf einen Bestätigungslink]. *
Punkt 1 - es ist für das Einfügen.Wenn es nicht wichtig ist, ob der Benutzer geschützt ist, spielt das Deaktivieren _still_ keine Rolle, neigt jedoch dazu, Benutzer zu ärgern.Nettogewinn - Null für Sicherheit, Punkt für Benutzerfreundlichkeit.Punkt 2 - Ein Punkt gegen jeden, der denkt, dass brutales Forcen über die Webseite erfolgt.Nettogewinn: -1 für Sicherheit.Punkt 3. - Die Biometrie ist Scheiße.Es ist inkonsistent.Das Tippen mit einer Hand, der falschen Hand (auf dem Handy), einer anderen Tastatur und einem anderen Ort kann sich darauf auswirken und eine Herausforderung darstellen.Viele Fehlalarme.Selbst wenn die Eingabe eines Benutzers konsistent ist, wäre sie wahrscheinlich nicht so eindeutig.
@DanHenderson FYI, wenn ich überhaupt sehe "Biometrische Daten stimmen nicht mit Benutzer" Dronz "überein. Sekundäre Überprüfung erforderlich."Ich werde in Betracht ziehen, meine Beziehung zu einem Unternehmen zu beenden, das dies eingerichtet hat, und mich wahrscheinlich öffentlich darüber beschweren und den Firmennamen in den kommenden Jahren (Jahrzehnten?) Regelmäßig auf wütende Weise erwähnen.Auf der anderen Seite, wenn es mir als FYI eine E-Mail darüber schickte, könnte es mir nichts ausmachen.
Upvoted, nur weil es ein Gegenargument ist und daher viel vielfältiger als viele der Antworten darüber.
Eine andere Form des Brute-Force-Angriffs, gegen die ich sehr vermute, dass Ihre Schadensbegrenzungstechniken nichts bewirken, besteht darin, dass die Datenbank mit verschlüsselten Passwörtern gestohlen wird und die Angreifer dann den Angriff gegen die gestohlene Kopie der Datenbank auf ihrer eigenen Hardware ausführen, ohne dieRisiko, in Ihrer Umgebung implementierte Sperren, Ratenbegrenzungen usw. auszulösen.
#8
+1
Bacon Brad
2016-07-28 05:23:52 UTC
view on stackexchange narkive permalink

Viele der Antworten weisen darauf hin, dass dies eine schlechte Praxis ist, da dadurch Kennwortmanager beschädigt werden können. Während die Verwendung von Passwort-Managern empfohlen werden sollte, sollte das Speichern von Passwörtern in der Zwischenablage dringend empfohlen werden. Die Zwischenablage ist kein spezielles sicheres Schließfach für Informationen und erleichtert den Zugriff auf Inhalte und bietet keine Verschlüsselung.

Hier ist nur ein Szenario, wie dies ausgenutzt werden kann:

  • Der Benutzer kopiert das Kennwort im Klartext.
  • Der Benutzer besucht eine andere Website mit einer Flash-Anwendung, während er nur im Internet surft. Oder die Website wurde vom Angreifer absichtlich an das Opfer gesendet.
  • Flash ermöglicht den Zugriff auf die Zwischenablage als API. So können Sie leicht auf die Inhalte der Zwischenablage zugreifen und diese an den Angreifer senden.

Es gab sogar Fälle, in denen jemand eine Reihe von Rich Media-Anzeigen auf einer Reihe bekannter Websites gekauft hat. Während sie wie eine scheinbar harmlose Flash-Anzeige aussahen, stahl sie tatsächlich die Zwischenablagedaten der Besucher in der Hoffnung, nützliche Informationen zu erhalten.

Zum Schluss , wenn Sie etwas haben, das Sie sicher aufbewahren möchten, ziehen Sie es an Speichern Sie es nicht in der Zwischenablage .

... oder kopieren Sie gleich danach etwas anderes in die Zwischenablage.
Oder verwenden Sie Flash nicht auf Ihrer Anmeldeseite.
Ein Passwort-Manager löscht normalerweise die Zwischenablage nach einigen Sekunden.Meins verwendet auch eine Kombination aus Tippen und selektivem Kopieren / Einfügen, da mein Passwort in meiner Zwischenablage oder im Tippverlauf (z. B. die Protokolldatei des Keyloggers) niemals vollständig lesbar ist.
@DanHanderson Sie können den Verlauf der Zwischenablage mit einigen Programmen anzeigen
@ardaozkal Die Zwischenablage unter Windows hat keinen Verlauf, aber Sie haben Recht, dass ein Programm einen eigenen Verlauf erstellen könnte.
@JDługosz Es geht nicht darum, Flash auf Ihrer Anmeldeseite zu verwenden.Es ist eine Frage Ihres Endbenutzers, ob Flash installiert ist und zu einer Site mit einer eingebetteten schädlichen Flash-Anwendung wechselt.
@DanHenderson Das OP gab an, dass seine Mobilfunkgesellschaft dies tut.Handys werden häufig von weniger technischen oder vorsichtigen Personen verwendet.Der Mobilfunkanbieter geht also wahrscheinlich davon aus, dass der Kunde nichts unternimmt, um sich selbst zu schützen.
@baconface Entschuldigung, was sagen Sie, dass das OP angegeben hat, dass seine Mobilfunkgesellschaft dies tut?Ich sehe keine Erwähnung, dass die Firma "gleich danach etwas anderes in die Zwischenablage kopiert" ...
@ardaozkal Ein solches Programm muss bereits ausgeführt werden, bevor Sie die Dinge in die Zwischenablage kopieren.Unter normalen Umständen verwirft die Windows-Zwischenablage den vorherigen Inhalt unwiederbringlich, wenn etwas Neues kopiert wird.
@DanHenderson Zweiter Absatz.Es wird erwähnt, dass sie die Möglichkeit für ihre Benutzer blockieren, aus der Zwischenablage einzufügen.
@baconface, das ist eine ganz andere Sache als das, was ich gesagt habe.Lassen Sie mich hier klarstellen.Aus Ihrer Antwort: "Wenn Sie etwas haben, das Sie sicher aufbewahren möchten, speichern Sie es nicht in der Zwischenablage."Ich: "Oder kopieren Sie einfach etwas anderes in die Zwischenablage, nachdem [Sie die Zwischenablage für diese eine Sache verwendet haben]."Sehen?Was ich sagte, war nichts, was OP von ihrer Mobilfunkgesellschaft behauptete.
Microsoft Office [führt einen Verlauf früherer Inhalte der Zwischenablage] (http://i.stack.imgur.com/05vu8.png), einschließlich der von Nicht-Microsoft-Programmen kopierten Elemente.Es bietet [eine Funktion zum Löschen von Elementen aus dem Verlauf] (http://i.stack.imgur.com/1zVfL.png), und wir hoffen daher, dass Kennwortmanager diese Funktion verwenden, aber einfach neue Informationen auf das Protokoll kopierenDie Zwischenablage löscht den Verlauf nicht.
@DanHenderson Ich habe darauf hingewiesen, dass das, was seine Mobilfunkfirma tut, keine Situation ist, in der ich mich schützen kann.Es ist eine "was ich tun kann, um meine Benutzer zu schützen" Situation.Obwohl ich darauf hinweise, dass es für Sie nicht sicher ist, Geheimnisse in die Zwischenablage zu schreiben, habe ich auch darauf hingewiesen, wie / warum das Unternehmen dies anspricht.
Es ist weitaus wahrscheinlicher, dass eine Kennwortverletzung oder ein Brute-Force-Angriff auftritt als eines dieser Probleme.
@baconface Haben Sie eine Referenz für Flash, die ohne Interaktion des Benutzers Zugriff auf die Zwischenablage des Benutzers hat?Laut http://www.adobe.com/devnet/flashplayer/articles/fplayer10_uia_requirements.html ist eine Benutzerinteraktion erforderlich, um die System-Zwischenablage abzurufen.
#9
+1
Micheal Johnson
2016-07-30 22:55:29 UTC
view on stackexchange narkive permalink

Andere Antworten haben ausführlichere Erklärungen gegeben, aber denken Sie kurz daran, dass das größte Sicherheitsrisiko in Bezug auf Kennwörter immer noch von Angriffen ausgeht, die auf die Server und nicht auf einen Client gerichtet sind. Mit anderen Worten, wenn Sie Ihr Passwort in der Zwischenablage haben, ist es nicht wirklich gefährdet, denn wenn das Passwort geknackt würde, würde es eher aus einer Passwortdatenbank geknackt, die vom Server gestohlen oder sogar brutal erzwungen wurde, als aus Ihrer Zwischenablage gestohlen.

Daher ist es wichtig, dass, wie andere Antworten gezeigt haben, das Verhindern, dass ein Benutzer sein Kennwort einfügt, ihn davon abhält, ein komplexes Kennwort zu haben, wodurch sein Kennwort einfacher zu erzwingen und daher weniger sicher ist.

#10
-3
distacle
2016-07-27 13:25:10 UTC
view on stackexchange narkive permalink

Ich denke, es hängt von den Diensten ab, die durch das Anmeldeformular gesichert sind. Es ist wichtig zu berücksichtigen, dass ein Kennwortmanager die Anmeldung auf das Gerät beschränken kann, auf dem der Kennwortmanager installiert ist. Dies stimmt nicht immer mit dem Dienstanbieter überein. Wenn der Dienst beispielsweise eine Bank war, die ihren Benutzern die Möglichkeit geben möchte, Karten im Falle eines Verlusts oder Diebstahls zu sperren, möchte sie dieses Privileg möglicherweise in Fällen beibehalten, in denen das Gerät, auf dem der Kennwortmanager ausgeführt wird, ebenfalls verloren gegangen oder gestohlen wurde / p>

Wie kann ein Passwort-Manager verhindern, dass Sie sich auf einem anderen Gerät anmelden?Und dein letzter Satz ist etwas unklar.
Wie @AakashM hervorgehoben hat, sehe ich keinen Grund, warum die Verwendung eines Passwort-Managers mich daran hindern würde, mich von einem anderen Gerät aus anzumelden.Ich installiere entweder den pw Manager auch auf diesem Gerät, merke mir das Passwort oder tippe es um.
Wollen Sie damit sagen, dass eine Bank möglicherweise nicht möchte, dass Benutzer Kennwortmanager verwenden, weil sie sich dann nicht anmelden können, um ihre Karten zu stornieren, wenn der Computer im selben Diebstahl gestohlen wurde?Wenn ja, sollten Sie das letzte "nicht" entfernen und einen eindeutigen Ausdruck als "Anmeldung auf das Gerät beschränken" finden.
Passwortmanager können verwendet werden, um die Verwendung von Passwörtern zu erleichtern, die schwer zu merken sind.Wenn Sie die Verwendung vereinfachen, kann dies zumindest die Wahrscheinlichkeit verringern, dass Benutzer sich ohne den Kennwortmanager anmelden können.
@distacle Sie schlagen also vor, dass einige Banken ihre Benutzer von der Verwendung von Passwort-Managern oder sogar von harten Passwörtern abhalten möchten, weil ... wenn ihre Bankkarte UND ihr Computer gestohlen wurden, sie sich möglicherweise nicht anmelden können (bei jemand anderem)Gerät), um den Diebstahl zu melden.Ich wollte nur sichergehen, dass ich Ihren Vorschlag verstanden habe.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...