Frage:
Warum werden Kennwortfelder immer ausgeblendet, wenn andere vertrauliche Daten nicht vorhanden sind?
GGMG-he-him
2016-11-05 09:56:18 UTC
view on stackexchange narkive permalink

Soweit ich weiß, werden Passwortfelder und PINs immer irgendwie verdeckt, um zu verhindern, dass Personen beim Betreten über die Schulter schauen. Andere wichtige Informationen, die ich in ein Webformular eingebe (Kreditkartennummer, Sozialversicherungsnummer usw.), die ich ebenfalls vor Rubbernecking schützen möchte, werden jedoch kaum verdeckt.

Als konkretes Beispiel wird die Eingabe Ihres Anmeldekennworts in Steam oder Amazon ordnungsgemäß ausgeblendet, die Eingabe Ihrer Kreditkartennummer beim Kauf wird jedoch als Klartext angezeigt. Intuitiv scheint es, als würden Sie alles löschen wollen, was gestohlen werden könnte, einschließlich Kreditkarteninformationen.

Gibt es einen bestimmten Grund, warum normalerweise nur Passwörter und keine anderen sensiblen Daten verdeckt werden?

Ich würde vermuten, dass Websites aufgrund ihrer Tradition und Benutzererwartung nur Passwörter ausblenden, da die Benutzer erwarten, dass die Passwörter leer sind, da dies immer so war, aber das ist eine verdammt interessante Frage
Kreditkarteninformationen sind nicht geheim, andernfalls wie Sie einen Kauf tätigen würden, ohne Ihre Kartendaten mitzuteilen.Passwort, in einer anderen Hand soll geheim gehalten werden, es ist die einzige Information, mit der Sie sich bei Ihrem Onlinedienst authentifizieren können.
@trallgorm: stimmt voll und ganz zu.Hinweis: Das Ausblenden von Passwörtern wird seit einiger Zeit von verschiedenen Seiten (Benutzer von Schnittstellen und Infosec) negativ gedruckt. Wenn ich mich richtig erinnere, liegt dies hauptsächlich daran, dass die Eingabe langer und daher sicherer Passwörter dadurch schwieriger wird.Einige Websites bieten jetzt eine Schaltfläche zum Löschen des Kennworts aus diesem Grund.
Einige Websites verwenden andere leere Felder als Kennwörter.Ihr Kreditkarten-Sicherheitscode (CVV2) ist am häufigsten.Dies ist eher die Ausnahme als die Regel.
Die meisten Leute benutzen Mistpasswörter, die jemand leicht sehen und sich merken kann, aber die meisten Leute können sich eine 16-stellige Nummer nicht in kurzer Zeit nur durch Sehen merken.
Nur eine Seite von diesem "Schulter-Surfen" -Ding.Wenn ich mein Telefon in eine Videoaufzeichnung stecke und aufzeichnet, dass Sie sich bei Ihrem Computer angemeldet haben, kann ich Ihre Tastenanschläge Bild für Bild mit einem sehr hohen Maß an Genauigkeit ermitteln.Leere Passwortfelder halten also nur * sehr gelegentliche * Bedrohungen fern.
Dies ist eine bedeutungslose Frage.Die einzig mögliche Antwort kann lauten: "Weil sie es so entworfen haben" in jedem Einzelfall, und es ist nicht unmöglich, dass Sie einen Fall finden, in dem das Passwortfeld * nicht * ausgeblendet ist, so dass es wahrscheinlich auch eine falsche Prämisse gibtProblem.
verwandte http://security.stackexchange.com/questions/127063/is-pin-affective-security-for-credit-cards-considering-its-not-always-needed
@Jase meinst du * deinen * Computer an einem öffentlichen Ort?Denn wenn der Besitzer eines öffentlichen Computers diese Daten haben möchte, installiert er einfach einen Leylogger, und es spielt keine Rolle, welche Symbole angezeigt werden.
@paj28 CVV funktioniert, weil es sehr kurz ist und während der Benutzer es wahrscheinlich von der Karte liest, ist es im Allgemeinen so klein gedruckt, dass Sie bemerken würden, dass jemand es liest.Aber es fügt wahrscheinlich sehr wenig Sicherheit hinzu
Die Eingabe eines Passworts vor einer anderen Person ist eine häufige Situation.Die Eingabe einer Kreditkarten- oder Sozialversicherungsnummer ist nicht möglich.Warum muss die Antwort komplex sein?
Sieben antworten:
Out of Band
2016-11-05 15:08:37 UTC
view on stackexchange narkive permalink

Ich glaube nicht, dass es sich um geheime oder sensible Informationen handelt, z. B. "geheime Informationen sind maskiert und sensible nicht". (Die Unterscheidung ist problematisch; viele Geheimnisse müssen auch geteilt werden.)

Ich denke, dass CC- und SSN-Informationen aus mehreren Gründen nicht ausgeblendet werden. Sie sind keine harte Tatsache, aber dennoch sind hier einige:

  1. Tun, was alle anderen tun, ohne den Benutzer zu überraschen. Passwörter kamen lange vor Webformularen und waren bereits maskiert. Wenn sie in Anmeldeformularen verwendet wurden, wurden sie auch maskiert. Als das Online-Geschäft und die Online-Verwaltung hinzukamen, erforderte der Stand der Technik (Papierformulare) (offensichtlich) die nicht maskierte Eingabe vertraulicher Informationen, sodass Webformulare die gleiche Wahl trafen.

  2. Es wäre sehr Es ist einfach, einen Fehler zu machen und eine falsche Nummer einzugeben, wenn Sie nicht gesehen haben, was Sie eingegeben haben. Im Falle eines falschen Passworts ist dies nur leicht ärgerlich und Sie erhalten sofortiges Feedback. Im Fall anderer falsch sensibler Daten kann dies weitere Konsequenzen haben, die nicht sofort klar sind (z. B. die Ablehnung einer Anfrage an ein Regierungsbüro aufgrund einer falschen SSN oder eine nicht durchgeführte Zahlung - obwohl in den Fällen cc und ssn Dies wird normalerweise dadurch abgesichert, dass geprüft wird, ob die Prüfsumme richtig ist, und sofortiges Feedback gegeben wird, wenn dies nicht der Fall ist.

  3. Viele Menschen kennen ihre CC-Nummer nicht aus dem Speicher und der Kopie es runter von der eigentlichen Kreditkarte. Die Nummer ist also sowieso für einen Zuschauer sichtbar; Das Ausblenden des Eingabefeldes würde nicht viel zum Schutz der Nummer am Client-Ende beitragen und verdient daher nicht die zusätzlichen Schwierigkeiten, die durch 2 verursacht werden.

  4. Auswirkung - Eine gestohlene CC-Nummer hat nicht unbedingt die gleiche Auswirkung wie ein gestohlenes Passwort, insbesondere wenn Sie der Ansicht sind, dass Informationen, die durch einen Blick über die Schulter gestohlen wurden, höchstwahrscheinlich von Personen gestohlen werden, die Sie kennen (Kollegen bei Arbeit, Familienmitglieder, Klassenkameraden usw.) und möchten Ihr Passwort aus einem ganz bestimmten Grund, der persönliche Konsequenzen hätte. OTOH, selbst wenn sie an Ihrer CC-Nummer interessiert wären, müssten Sie den finanziellen Schaden nicht hinnehmen, da die CC-Firma ihn wahrscheinlich übernehmen würde. Aus dem gleichen Grund macht es Ihnen nichts aus, einen Kellner oder Verkäufer Ihre Kreditkarte sehen zu lassen, obwohl er sie kopieren und an jemand anderen verkaufen könnte ...

  5. ol>

    Nummer 4 gilt jedoch möglicherweise nicht für andere Arten vertraulicher Informationen.

Genau.Das Ausblenden solcher Felder wäre ein Albtraum für die Benutzerfreundlichkeit.
Kreditkartennummern (eigentlich Zahlungskarten, zu denen auch die meisten Debit- und Geschenkkarten gehören) haben eine Luhn-Prüfsumme. In den meisten Transaktionen werden sie innerhalb von Minuten mit Namen und CVV2 und / oder Adresse (AVS) an den Emittenten gesendet und überprüft.(US) SSN hat keine Redundanz und wird in einigen häufigen Situationen wie einer Bankeinlage oder einem Leistungsanspruch möglicherweise tagelang oder wochenlang nicht überprüft - oder überhaupt nicht, da Einschränkungen hinsichtlich der Nutzung der Überprüfungsdienste bestehen.Sowohl SSA als auch IRS benötigen ganze Systeme, um "ungenaue" SSNs zu beheben - obwohl dies sowohl Fehler als auch vorsätzliche Betrugsfälle umfasst.
@PeriataBreatta Setzen Sie UX nicht wie in der Vergangenheit über die Sicherheit
@cat Umgekehrt ist es auch keine besonders gute Idee, UX im Namen der Sicherheit schwieriger zu machen, als es sein muss, da Benutzer die Sicherheit aktiv umgehen, um die gewünschte Funktionalität zu erreichen.Es muss ein Gleichgewicht geben.
Bruce Schneier hat eine interessante Sicht auf das, was mir wirklich gefällt: [Hör auf, den Benutzer zu reparieren] (https://www.schneier.com/blog/archives/2016/10/security_design.html)
@cat Stimmt es nicht, dass "Sicherheit auf Kosten der Benutzerfreundlichkeit auf Kosten der Sicherheit geht?"
Zumindest in meinem Land ist eine Kreditkartennummer keine vertrauliche Information (sie wird sogar in jeder Quittung abgedruckt, wenn Sie die Karte in der realen Welt verwenden).Die Verwendung der Nummer in einer Online-Transaktion reicht normalerweise nicht aus - Sie müssen einen temporären Code bestätigen, der vom Smartphone empfangen wurde.Also keine Notwendigkeit, es zu verstecken
"Viele Geheimnisse müssen auch geteilt werden" Wenn dies der Fall ist, sind sie keine Geheimnisse.Passwörter, CVVs und Debitkarten-PINs sind Geheimnisse. Sie müssen diese niemals weitergeben, da sie die Autorisierung für eine Transaktion ermöglichen. Nur der Eigentümer sollte Zugriff darauf haben.
Sie und ich können ein Geheimnis teilen, das wir niemandem erzählen (ich bin eigentlich Batman, und nur Sie, mein treuer Kumpel, wussten das bis jetzt).Einige Dokumente werden als "streng geheim" eingestuft, dies bedeutet jedoch nicht, dass nur eine Person Zugriff darauf hat.Passwörter und PINs für Benutzerkonten sind zufällig Geheimnisse, die nicht an Dritte weitergegeben werden müssen, wie Sie richtig hervorheben (obwohl ich keinerlei Probleme hätte, meiner Frau meine Debitkarten-PIN anzuvertrauen, da wir sie teilendas gleiche Bankkonto sowieso ...).
Das ist die richtige Antwort.Obwohl meine Kreditkartennummer eine vertrauliche Information ist, handelt es sich nicht um eine geheime Information.Ein Passwort weiß nur ich.Auch die Website kennt mein Passwort nicht.Während es meine Kreditkarte kennt.Die Bank kennt meine Kreditkartennummer.Das ist also überhaupt kein Geheimnis.
user1301428
2016-11-05 13:43:45 UTC
view on stackexchange narkive permalink

Dies liegt daran, dass es sich hier um zwei Arten von Informationen handelt: vertrauliche Informationen vs. geheime Informationen .

  • Sensible Informationen sind Daten, die aus Sicherheits- / Datenschutzsicht eine gewisse Bedeutung haben und die definitiv einige Probleme verursachen können, wenn sie in die falschen Hände geraten. Daten wie Ihre SSN, Kreditkartennummer, Foto usw. sind jedoch nicht geheim: Ein Dritter benötigt Zugriff darauf, um eine von Ihnen aufgegebene Bestellung bearbeiten oder Ihre Identität bestätigen zu können.

  • Geheime Informationen sind dagegen Informationen, auf die aus irgendeinem Grund niemand Zugriff haben muss. Niemand sollte Ihr Passwort benötigen, um etwas zu tun, daher wird dieses Feld normalerweise maskiert.

Idealerweise möchten Sie, dass alles maskiert wird, aber es gibt Usability-Probleme, die Sie berücksichtigen sollten Tu es. Letztendlich müssen Sie immer Kompromisse eingehen, und die Verwendung dieser beiden Kategorien als Filter ist nur ein gängiger Weg.

@PascalSchuppli stimmt, sie sollten nicht.Dies erinnert mich an die Debatte über die Verschlüsselung der gesamten Datenbank gegenüber nur den vertraulichen Spalten.Aber dann könnte alles zu sensibel werden: Ich persönlich halte meinen Familiennamen für sensibler als meine CC-Nummer, die ich sowieso schnell ändern kann. Sollten wir auch Vor- und Nachnamen maskieren?
@PascalSchuppli oh richtig, ich verstehe!Erwischt
John Deters
2016-11-05 19:14:27 UTC
view on stackexchange narkive permalink

Es gibt viele anhaltende Probleme bei der Datensicherheit. Dies ist einer von ihnen.

TL; DR: Beschuldigen Sie die Kreditkartenbranche.

Die Hauptursache ist das falsche Konzept, das Sie durch die Angabe Ihrer Identität erhalten erteilen auch Ihre Autorisierung . Dies war die schreckliche Grundlage, auf der Kreditkarten aufgebaut wurden, und deshalb ist die Situation so schlecht wie heute.

Ihre Identität (Kreditkartennummer, SSN usw.) sollte niemals geheim gehalten werden müssen, da wer Sie sind, kein Geheimnis ist . Sie können vor einem Online-Händler nicht geheim bleiben, weil er Ihnen die Sachen schicken muss, die Sie kaufen. Sie können keinen Händler mit einer Kreditkarte geheim halten, da der Händler möchte, dass Ihre Bank ihm Geld gibt. Sie können es nie schaffen, vor dem Steuermann geheim zu bleiben. Und Sie möchten nicht vor Ihrem Gesundheitsdienstleister geheim bleiben, der Ihre Krankengeschichte benötigt, um Ihre Probleme zu behandeln.

Als der Kredit erfunden wurde, war dies kein großes Problem. Die Leute kannten sich und beide Seiten vertrauten sich bei der Transaktion. Aber das System war so unglaublich leicht zu missbrauchen, dass Betrug außer Kontrolle geriet.

Kreditkartentransaktionen sind äußerst profitabel. In dem verzweifelten Bestreben, die Angst der Menschen vor der Verwendung ihrer unsicheren Kreditkarten zu verhindern, hat die Payment Card Industry (PCI) die Schuld erfolgreich auf die Händler verlagert und gesagt, "sie bewahren Ihre Kreditkartennummern nicht sicher auf", während sie die Tatsache, dass die Das gesamte System wurde auf einer fehlerhaften Vertrauensvoraussetzung aufgebaut. (Ich gebe der Kreditkartenbranche die Schuld, diese Sicherheitslücke aufrechtzuerhalten, um ihre Gewinne zu erhalten.)

Die Lösung besteht darin, Ihre Identität von Ihrer Autorisierung zu trennen. Menschen müssen keine Angst haben, ihre Identität zu verlieren, wenn die Identität ohne Genehmigung wertlos ist.

Aber wie erteilen Sie eine Genehmigung, wenn die Möglichkeit eines nicht vertrauenswürdigen Mittelsmanns besteht? Es gibt einen schlechten und einen guten Weg. Der schlechte Weg ist das Passwort. Indem Sie nachweisen, dass Sie ein Geheimnis kennen, können Sie die Verwendung Ihrer Identität autorisieren. Aber einfache Passwörter sind genauso problematisch wie einfache Kreditkartennummern heute. Wenn Sie Ihr Geheimnis dem Händler mitteilen, der es dann an die Bank weitergibt, kann ein Mann in der Mitte irgendwo entlang dieser Kette Ihr Geheimnis kopieren und Ihre Autorisierung fälschen.

Der einzig gute Weg, Ihre Berechtigung sicher zu erteilen, ist die Verwendung von Challenge-Response. Dies löst das gesamte Problem, außer dass wir Menschen keine effektive Herausforderung in unseren Köpfen lösen können. Dies wurde durch die Einführung von Chipkarten und der EMV-Protokolle auf brillante Weise überwunden. Die Karte macht die ganze harte Arbeit, die Herausforderung anzunehmen und die Antwort zu generieren. Für zusätzliche Sicherheit kann die Karte so gestaltet werden, dass ohne PIN keine gültige Antwort generiert wird.

In dieser rosaroten Welt müssen Sie nicht nur die Kreditkartennummern nicht mehr schützen, sondern auch die Antwort nicht mehr schützen, da sie für die Herausforderung einzigartig ist.

Wir werden vielleicht eines Tages dort ankommen. Aber im Moment ist EMV immer noch nicht perfekt. Da nur die kleinen Goldkontakte für die Kommunikation (oder manchmal auch für Funk) verwendet werden können und Telefone und Computer nicht über die universelle Fähigkeit verfügen, mit Chipkarten zu kommunizieren, gibt es keine gute Möglichkeit, EMV zum Autorisieren einer Transaktion in einem Webbrowser oder zu verwenden über ein Telefon. (Einige europäische Banken verwenden Pocket-Chip-Lesegeräte. Bei diesen Geräten handelt es sich jedoch um umständliche Geräte, bei denen der Benutzer die zusätzlichen Schritte zum Eingeben einer Reihe von Ziffern als Herausforderung und Eingeben der Antwort ausführen muss.) Webtransaktionen sind dies derzeit immer noch unsicher auf statische CVV-Nummern angewiesen, die Passwörtern entsprechen.

Und das löst auch keine Probleme ohne Kredit. Der Zugriff auf Krankenakten, Websites und alles andere, was eine Genehmigung benötigt, hat das gleiche Problem und erfordert eine gute Lösung. Es gibt viele halbe Lösungen wie OAuth, aber wie der Verstoß von Yahoo! gezeigt hat, sind sie keine guten Lösungen. Und welche Lösungen auch immer herauskommen, sie werden in Normungsausschüssen von Unternehmen bekämpft, die alle nach einem profitablen Stück Kuchen verlangen. konkurrierende Regierungen, die den Zugang zur Hintertür kontrollieren und erhalten wollen; Technische Firmen, die die Infrastruktur usw. aufbauen möchten. Es ist eine ausgemachte Sache, dass die Kompromisse nicht sowohl sicher als auch interoperabel sind.

Sobald diese Probleme behoben sind und ähnliche Lösungen für das Gesundheitswesen im Internet angewendet werden Bei der Site-Identität usw. wird möglicherweise das Ende des maskierten Kennwortfelds angezeigt. Ich gebe es mindestens 50 Jahre bevor wir dort ankommen, wenn überhaupt.

Ich habe nie verstanden, dass Kreditkartenunternehmen ihre Karten so unsicher lassen.Sie haften nicht für betrügerische Einkäufe.Es ist das Geld der Bank, nicht deins.Warum kümmert es dich überhaupt, ob sie es schützen oder nicht?Für beide Seiten ist es das beste Ergebnis, ihre Gewinne zu maximieren und den Aufwand für die Kunden zu minimieren.
"Derzeit sind Webtransaktionen immer noch unsicher auf statische CVV-Nummern angewiesen" ... oder 3D Secure, mit dem der Kartenaussteller den gewünschten Authentifizierungsschritt ausführen kann (in der Regel wird jedoch ein Kennwort eingegeben, an das nicht gesendet wird)der Händler).
@Kat - Wenn betrügerische Transaktionen auf magische Weise automatisch erkannt und ohne Intervention an Sie zurückgesandt wurden, stimme ich Ihnen zu. In Wirklichkeit müssen Sie jedoch Ihre Kontoauszüge regelmäßig auf nicht autorisierte Transaktionen überprüfen und sich dann (normalerweise wiederholt) bei derBank, bis sie einer Rückerstattung zustimmen.Es kann Stunden Ihrer Zeit dauern, für die Sie nicht entschädigt werden.
@Kat, ich halte Betrug nicht für OK, da diese Kosten letztendlich in Bezug auf höhere Preise aus meiner Tasche kommen.
@PeriataBreatta, sicher, es gibt eine ganze Familie von Problemen, die durch Herausforderung / Reaktion allein nicht gelöst werden können (betrügerische Händler, die an Erfassung / Wiedergabe, Social Engineering usw. beteiligt sind), und es gibt Hunderte von einmaligen benutzerdefinierten Lösungen für bestimmte Situationen.Aber diese brechen nur den Markt und trüben das Wasser weiter.Es muss ein vertrauenswürdiger Standard entstehen, aber nichts ist nahe gekommen.Bis dahin müssen wir alle das Problem individuell angehen, mit unterdurchschnittlichen oder nur mit einem Passwort versehenen Tools wie Yubikey, Mooltipass, PasswordSafe, OAuth, SMS, Google Authenticator usw. usw. usw.
@PeriataBreatta Sie sollten Ihre Aussagen überprüfen, egal wie sicher Karten werden, da sie niemals perfekt sein werden und selbst gut gemeinte Gebühren falsch sein können.Ich habe nie länger als fünf Minuten gebraucht, um eine Karte zu bestreiten und sie zu erledigen.Selbst die kleinsten Sicherheitsfunktionen (wie das Ausblenden des Feldes und das mehrfache Eingeben) würden mehr Zeit in Anspruch nehmen.Vielleicht sollten Sie die Bank wechseln?
@JohnDeters ist nicht anders als ein Geschäft, das entscheidet, was in einem Fall gesperrt werden soll oder nicht.Wenn es sie weniger kosten würde, mehr Sicherheit zu implementieren, würden sie das tun.Sicherheit ist auch nicht kostenlos und kostet oft mehr als Betrug oder Diebstahl.
@Kat Es ist schlimm, dann könnten irgendwann irgendwo schlechte Dinge zu dir kommen.Ich habe in meinem Land eine Geschichte gehört, in der diese Praxis nicht üblich ist, dass jemand einen Freund gebeten hat, etwas aus einem anderen Land für ihn zu bezahlen, und der Freund hat die Zahlung später fälschlicherweise bestritten.Sein Konto wurde sofort gesperrt, weil der Dienstleister wütend ist, weil er eine Geldstrafe für diesen Streit erhalten hat (ohne dass jemand diese Angelegenheit tatsächlich untersucht), und dies in seiner Dienstzeit angegeben hat.Technisch sollte er in Ihren Begriffen etwas falsch machen, aber das ist hier ziemlich unerwartet.
@Kat Wenn es die Bank ist, die den Verlust isst, dann kein Problem, und es ist genau wie das Beispiel für die Sicherheit des Geschäfts.Tatsache ist jedoch, dass sie die Händler dazu zwingen, das zu akzeptieren, nehme ich an.Die Händler denken vielleicht nicht, dass es mehr spart, aber alle Banken tun solche Dinge und müssen einen Weg finden, um zu leben.Wenn dadurch nicht mehr gespart wird, spiegeln sich die Kosten im Preis von allem wider, was Sie kaufen.
@Kat Idealerweise könnten die Händler weniger verlangen, wenn Sie eine Bank nutzen, die eine bessere Sicherheit verwendet und diese Streitigkeiten nicht akzeptiert oder besser behandelt.Aber das ist verdächtig, unpraktisch, schwer zu bewerben, sorgt für Überraschung und hat viele andere Probleme, weil sie mit der derzeit von den Banken gewählten "normalen" Art verglichen werden und nicht, weil sie im Idealzustand wirklich billiger sind.Sie könnten im Idealzustand tatsächlich billiger sein, aber wer weiß.Für Banken ist das alles egal.
@Kat Auch wenn es solche Probleme nicht gibt, sollte jemand die Möglichkeit haben, die Banken zu befragen, und theoretisch möglicherweise die Möglichkeit haben, in seiner Laufzeit selbst bessere Banken zu schaffen.Wenn dies lächerlich sein soll, sollte nicht erwartet werden, dass der Markt frei genug ist, um im optimalen Zustand zu sein, also sollten Sie auch etwas mehr bezahlen.
Nur um den Teil über Challenge-Response zu erweitern: Die Geräte, die die Banken in Europa verwenden, haben die Möglichkeit, die Daten über einen flackernden Code zu übertragen, um zu vermeiden, dass diese langen Nummernketten eingegeben werden.
Jared Smith
2016-11-05 23:43:25 UTC
view on stackexchange narkive permalink

Obwohl die Antwort von User1301428 den Unterschied zwischen Kennwörtern und anderen Arten vertraulicher Daten hervorragend erklärt, gibt es auch einen technischen Grund: HTML-Eingabe-Tags (und was auch immer das Äquivalent auf den anderen Plattformen ist).

Seitdem Internet Explorer 2 (1995 und damit die erste Version jedes anderen Browsers) unterstützt das bescheidene Eingabe-Tag type = "password" , das in so gut wie jedem Browser den Text maskiert. Alles, was das Verhalten dieses Tags von Grund auf neu erstellt, da Gründe normalerweise auch dieses Verhalten nachahmen.

Es gibt jedoch keinen Typ "Kreditkarte" oder "SSN". Während der Entwickler es als Teil der Webplattform (oder einer anderen Plattform) kostenlos erhält, müsste er den Kennworttyp für ihn verwenden (was gegen die heute übliche Erwartung verstößt, mehrere Eingabefelder zu haben, um die Nummer aufzubrechen) oder es implementieren von Hand für andere Daten. Dann gibt es die ganze Sache, eine 9-16-stellige Zahl richtig einzugeben, wenn Sie die Ziffern nicht sehen können und ... ja.

Der einzige Unterschied zwischen "type = text" und "type = password" besteht darin, ob das Feld maskiert ist.Der HTML-Autor könnte "type = password" für ein CC- oder SSN-Feld verwenden, wenn er dies wünscht.Es gibt keinen technischen Grund, warum sie diese Felder nicht maskieren konnten.Diese Antwort ist völlig falsch.
@ScottJ Ich hatte einmal ein Chrome-Angebot, meine Zahlungskartennummer als "Benutzernamen" und den CVV als "Passwort" zu speichern, da dies der Eindruck ist, den es aus dem Formular erhalten hat.Sehr beunruhigend.
@newcoder Das sind diese Dinge, tho '.
@ScottJ Dennoch wäre "type = masked" viel einladender für "Nicht-Passwort-Felder" als "type = password".Es ist eindeutig nicht der wahre Grund, warum nur Passwörter maskiert werden, aber die Antwort macht einen guten Punkt, der mit ziemlicher Sicherheit dazu beigetragen hat.
Heutzutage bieten viele Entwickler-Frameworks KOSTENLOSE benutzerdefinierte Widgets an, die bestimmte Informationen wie Telefonnummer, Postleitzahl formatieren.und so für sensible Informationen wie Kartennummer.Die Implementierung ist sowohl auf Client- als auch auf Serverseite gut etabliert.Ich meine, es gibt nicht zu viel Arbeit, um in einem Webformular ein unterscheidbares Feld vom Typ SSN zu platzieren.
@Luc, der Grund, warum Nicht-Passwörter nicht maskiert werden, liegt darin, dass andere HTML-Autoren genauso verwirrt waren wie @Jared Smith über `type = password`.Das ist vernünftig, macht dies aber nicht zu einer guten Antwort.Wenn in dieser Antwort "Weil HTML-Autoren` type = password` nicht verstanden haben "steht, ist dies möglicherweise eine gute Antwort.
@Jared Smith Ihre Bearbeitung am 9. November zeigt anhaltende Verwirrung über "Typ = Passwort".Es gibt keinen Grund, warum der HTML-Autor nicht mehrere Eingabefelder haben könnte, um die Nummer aufzuteilen, die alle "type = password" verwenden.Diese Antwort ist immer noch völlig falsch.
Wildcard
2016-11-08 09:11:32 UTC
view on stackexchange narkive permalink

Ich sehe zwei unmittelbare Gründe / Unterschiede. Der erste wird nebenbei in der ausgezeichneten akzeptierten Antwort erwähnt, aber ich habe den hier erwähnten zweiten Punkt nicht gesehen.

  1. Ein falsches Passwort wird sofort bemerkt und abgelehnt.

    Im Gegensatz zu einer falsch eingegebenen Kreditkartennummer oder SSN mit möglichen Konsequenzen wird ein Anmeldeformular mit einem falschen ausgefüllt Passwort gibt sofortiges Feedback, oft ohne andere Konsequenz als die erneute Eingabe des Passworts.

    Natürlich ist dies für sich selbst ärgerlich. Daher bieten einige Websites jetzt die Option "Kennwort anzeigen" als Verbesserung der Benutzerfreundlichkeit an.

    Im Vergleich dazu, einige Minuten oder Stunden später herauszufinden , dass Ihr Kauf nicht erfolgreich war (aufgrund eines Fehlers) Wenn Sie Kreditkarteninformationen eingeben, weil das Kreditkartenfeld ausgeblendet wurde, oder Monate später herausfinden, dass Ihre Steuererklärung abgelehnt wurde, weil Ihre SSN falsch eingegeben wurde (weil das Feld ausgeblendet wurde), ein Login Ein Fehler ist eine ziemlich zahme Folge.

  2. Beim Festlegen eines Kennworts erwarten Benutzer , dass zweimal zur Eingabe aufgefordert wird.

    Dies ist der mildernde Faktor beim Ausblenden des Kennwortfelds: Sie müssen das Kennwort zweimal eingeben, um sicherzugehen, dass Sie es korrekt eingegeben haben. (Dies gilt natürlich nur für die Einstellung des Passworts, wenn nichts vorhanden ist, mit dem der eingegebene Wert verglichen werden kann, sodass Sie kein "falsches Passwort" ablehnen können.)

    Stellen Sie sich vor, das Kreditkartenfeld wäre ausgeblendet. Möchten Sie Ihre Kreditkarteninformationen zweimal eingeben, beide Male blind? (Ich würde nicht.) Dies wäre eine Verbesserung gegenüber der blinden Eingabe von Kreditkarteninformationen nur einmal , aber es wäre ein ziemlicher Schritt von der Eingabe der Informationen und der Überprüfung, ob Sie sie korrekt eingegeben haben - wie Sie es heute tun können.

  3. ol>
Micheal Johnson
2016-11-05 22:08:45 UTC
view on stackexchange narkive permalink

Es ist nur übliche Praxis. Es gibt viele Male, in denen ich lieber ein Passwort sichtbar hätte. In ähnlicher Weise werden Benutzer verwirrt sein, wenn sie ihre Kartennummer beim Eingeben nicht sehen können. Es gibt keinen anderen Grund.

Beachten Sie, dass einige Websites / Webbrowser heutzutage das "Demaskieren" zulassen. ein Passwortfeld, wenn der Benutzer sein Passwort lieber sehen möchte und sich sicher ist, dass niemand über die Schulter schaut.

user23013
2016-11-06 14:50:08 UTC
view on stackexchange narkive permalink

In einem gut gestalteten System sollten Kennwörter nicht im Klartext auf dem Server gespeichert werden. Das Passwort wird nur angezeigt, wenn Sie es eingeben. Und das können Sie überall tun, wenn Sie auf Ihr Konto zugreifen möchten. Das heißt, in jeder Situation, in der der Benutzer möglicherweise seine Kennwörter sehen kann, sollte davon ausgegangen werden, dass sich möglicherweise andere Personen in der Nähe befinden.

Bei anderen Informationen ist es sehr wahrscheinlich, dass Personen diese eingeben oder sicher lesen Orte ohne jemanden in der Nähe. In vielen Fällen gibt der Benutzer diese Informationen nur einmal ein und nutzt die Website für eine lange Zeit. Und wenn der Benutzer mit diesen Informationen auf diese Option klickt, sollten sie bereits vorbereitet sein.

TL; DR: Es ist unpraktisch, alle um Sie herum loszuwerden, wenn Sie das Passwort eingeben.

Ich sage nicht, dass sie nicht ausgeblendet werden sollten. Dies ist jedoch je nach Situation möglicherweise nicht das größte Problem.

Dies sieht nicht nach einer Antwort auf die Frage aus, sondern nach einem Kommentar zu einer anderen Antwort?
@schroeder Äh, auf welche Antwort?Es ist unpraktisch, alle um Sie herum loszuwerden, wenn Sie das Passwort eingeben.Es ist etwas praktisch, um andere Informationen einzugeben / anzuzeigen.Also werden sie anders behandelt, als die Frage gestellt?
Warum sprichst du über Passwortspeicherung?Die meisten relevanten Teile dieser Antwort werden bereits von anderen Antworten abgedeckt.Ich habe Probleme zu sehen, wie sich diese Antwort auf die Frage bezieht und wie sie sich von anderen Antworten unterscheidet.Ich denke, Sie müssen möglicherweise einige Punkte verbinden.
@schroeder-Websites zeigen auf ihren Seiten keine Passwörter an, während sie möglicherweise andere Informationen anzeigen.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...