Frage:
Warum blockieren einige Websites das Einfügen in Eingabefelder für Benutzernamen oder Kennwörter?
realworldcoder
2011-03-06 03:58:06 UTC
view on stackexchange narkive permalink

Ich verwende einige Websites, die mich daran hindern, & in die Felder für den Benutzernamen oder das Kennwort einzufügen. Es ist ziemlich frustrierend, einen Passwort-Manager zu verwenden, und wenn überhaupt, würde dies Benutzer von einer guten Passwortverwaltung abhalten, da sie immer wieder etwas auswählen müssen, das sie manuell eingeben können.

Gibt es tatsächlich Vorteile beim Verhindern des Einfügevorgangs in einer Anwendung oder Website?

Die Registrierungsseite für die BlackBerry Beta Zone führt dies aus: http://www.blackberry.com/beta
Die Seite zur Kontoerstellung auf Argos.de blockiert auch das Kopieren / Einfügen, jedoch nicht das Ziehen / Ablegen.
Sechs antworten:
#1
+32
D.W.
2011-03-06 06:21:51 UTC
view on stackexchange narkive permalink

Meiner Meinung nach ist es kein Nettogewinn. Diese Einschränkungen frustrieren mich immer.

(Ich hoffe, dass hier jemand Details darüber veröffentlicht, wie sie entschärft oder umgangen werden können. Vielleicht eine Änderung an Firefoxs user_prefs.js? Eine Erweiterung?)

Vermutlich liegt der Grund, warum Websites den Passwort-Manager deaktivieren, darin, dass sie befürchten, Alice könnte sich vor Bobs Browser setzen und sich als Bob auf der Website anmelden und möglicherweise etwas auf Bobs Registerkarte kaufen. Dies ist insbesondere ein Problem für Mitbewohner, Familienmitglieder usw., die zusammen leben. (Siehe auch "freundlicher Betrug".) Ein damit verbundenes Risiko besteht darin, dass Bob tatsächlich etwas kauft, dann aber behauptet, Alice habe es getan, um nicht mehr dafür zu bezahlen. Vermutlich hoffen die Websites, dass Bob durch Deaktivieren des Passwort-Managers gezwungen sein wird, sein Passwort jedes Mal neu einzugeben. Alice kennt das Passwort nicht und kann es nicht eingeben.

Diese Einschränkungen sind jedoch mit erheblichen Kosten verbunden. Sie machen die Website weniger benutzerfreundlich und für die Benutzer ärgerlicher. Sie veranlassen Benutzer außerdem, entweder schlechte Passwörter auszuwählen (die möglicherweise anfälliger für Angriffe zum Erraten von Passwörtern sind) oder ihre Passwörter aufzuschreiben (wodurch möglicherweise Mitbewohner und Familienmitglieder das Passwort lernen und alle dort zurückbleiben, wo wir angefangen haben). Für Benutzer, die allen anderen vertrauen, die physischen Zugriff auf ihren Computer haben, verringern diese Einschränkungen die Sicherheit erheblich.

Ich persönlich vermute, dass die meisten Websites solche Maßnahmen nur ungern anwenden sollten. Es besteht die Möglichkeit, dass Sie Ihre Benutzer mehr ärgern als ihnen helfen. Sie sind jedoch besser in der Lage, eine fundierte Entscheidung zu treffen.

Wenn Sie sich für solche Einschränkungen entscheiden, können Sie Benutzern eine Möglichkeit bieten, sich abzumelden, wenn sie ihren Computer nicht mit anderen teilen. Vielleicht ist dies nur für Power-User von Interesse, daher weiß ich nicht, ob es Ihre Zeit wert ist, aber Sie könnten es in Betracht ziehen.

Übrigens, wenn Alice Bobs Unachtsamkeit nutzt, um etwas zu kaufen, wie kann Bob dann möglicherweise die Website für diese Aktion verantwortlich machen?
Da Sie nach einer Problemumgehung gefragt haben, verwende ich hier http://pastebin.com/8jtqhVps.Ich benutze dies mit TamperMonkey, aber ich hoffe, dass es auch mit GreaseMonkey funktioniert.Es erfasst die Daten, wann immer Sie etwas einfügen.`Strg + Y` setzt den Wert des fokussierten Elements auf den zuletzt erfassten Wert.Bisher noch nie ein Problem verursacht
Als Problemumgehung verwende ich ein AutoHotkeys-Skript.Ich brauchte es für Situationen, in denen die Zwischenablage aufgrund mangelnder Funktionalität (VNC- und VMWare-Fenster) nicht funktioniert, aber bei manuell deaktivierten Steuerelementen genauso gut funktioniert, da die Zwischenablage in Tastenanschläge geleitet wird. http://pastebin.com/YzgS8YBd
Ich mache: Klicken Sie mit der rechten Maustaste auf das Passwortfeld> "Element überprüfen"> klicken Sie mit der rechten Maustaste auf das ausgewählte Element> "In Konsole verwenden"> temp0.value = '{mein Passwort}'
#2
+11
Rory Alsop
2011-03-06 06:29:15 UTC
view on stackexchange narkive permalink

Die beiden Hauptgründe, die mir immer angegeben wurden, sind:

  1. Wenn Sie das Kopieren und Einfügen zulassen, werden die Kennwörter von Personen in einer Textdatei gespeichert, was unsicher ist (ja, ich weiß, dass es sich um Anwendungen handelt Wie bei PassSafe ist dies etwas veraltet, da der Ort zum Speichern von Passwörtern "sicher" ist.
  2. Personen vergessen ihre Passwörter, wenn sie sich nicht daran erinnern müssen.
  3. ol>

    Nummer 2 ist meiner Meinung nach die wichtigste - es ist schwer genug, die Leute davon zu überzeugen, sich ihre Passwörter zu merken, wenn sie aus dem Urlaub zurückkehren - die Helpdesk-Last ist nach jedem größeren Urlaub hoch, und Unternehmen versuchen es Reduzieren Sie dies.

Ja, aber wenn ich einen Schlüsselbund, ein Passwort oder einen anderen Mechanismus verwende, werden meine Passwörter auf "sichere" Weise gespeichert (natürlich nach einer Definition von "sicher") und ich verliere nur den Usability-Vorteil, dass ich kein a sein muss Touch-Typist.
Die Leute werden ihre Passwörter vergessen, auch wenn sie sich daran erinnern müssen. Es bedeutet nur, dass Passwörter auf Papier geschrieben und nicht irgendwo verschlüsselt werden.
Es ist nur so, dass das kopierte Objekt im DRAM gespeichert wird, das während eines Angriffs möglicherweise aus dem aktiven Zustand geraten kann.
Shritam - das ist ein sehr unwahrscheinliches Szenario, aber Sie können gerne eine neue Antwort hinzufügen, anstatt andere zu kommentieren.
@RoryAlsop Korrigieren Sie mich, wenn ich falsch liege. Die Benutzer verwenden Kennwortmanager, damit sie sich keine Kennwörter merken müssen.Recht ?Warum möchte eine Website, dass wir uns unser Passwort merken?
Umair - Ich kann nicht verstehen, was Sie fragen
Bei Nummer 2 erinnere ich mich buchstäblich nur an ein Passwort: das Passwort, mit dem ich meine Passwortdatei verschlüssele.Jede Website erhält ein anderes Passwort, das ich aus dieser verschlüsselten Datei kopiere.Ich verwende mein lokales Passwort niemals online.Es ist viel sicherer.Ich weiß, dass die meisten Leute dies nicht tun werden, aber warum glauben Sie, dass jemand, der ein Passwort kopiert, sein Passwort nicht gespeichert bekommt, wenn eine dumme Site das Einfügen deaktiviert?
#3
+9
Jeff Ferland
2011-03-06 05:16:44 UTC
view on stackexchange narkive permalink

Ich persönlich glaube nicht, dass es echte Vorteile gibt. Ich stimme der Idee zu, dass Sie Ihre Benutzer wahrscheinlich nur dazu verärgern werden, etwas auszuwählen, das nicht hilfreich ist.

Trotzdem glaube ich, dass die verwendeten Rationalisierungen entweder

    sind
  • Vermeiden Sie, dass das Passwort an einem Ort gespeichert wird, an dem es gestohlen werden könnte,
  • oder weil sie glauben, dass Passwörter vom Benutzer aus irrationalen Gründen eingegeben werden müssen.

Obwohl es vernünftig sein könnte, sich gegen Little Johnny zu verteidigen, der das Bankkonto seiner Mutter leert, sehe ich in der Praxis nicht viel anderes. Ich denke, wenn Sie die Kennwortdatei abfangen können, können Sie wahrscheinlich die Tastatureingabe abhören.

Im Gegensatz dazu verbrauchen die Zwischenablagebereiche Speicher im DRAM, der andernfalls verloren gehen kann.Dies kann nur passieren, wenn Sie während eines Angriffs Daten im Speicher speichern - es kann zu Undichtigkeiten kommen?
#4
+6
IBam
2015-02-03 17:44:33 UTC
view on stackexchange narkive permalink

Ein Beispiel für dieses Verhalten ist Paypal - sie verhindern das Einfügen in die Passwortfelder, wenn Sie Ihr Passwort ändern (aber nicht, wenn Sie Ihr Passwort eingeben, um sich anzumelden, arbeiten Sie das aus !!). Ihre Begründung lautet:

Die Funktion zur Verwendung von control-V ist beim Zurücksetzen des Kennworts nicht verfügbar, da dies eine unserer Möglichkeiten ist, um sicherzustellen, dass tatsächlich der Kontoinhaber darauf zugreift das Konto.

In diesem Beispiel und in anderen Beispielen, auf die ich gestoßen bin, können Sie Javascript deaktivieren, um das Einfügen zu aktivieren. Mit Chrome können Sie dies beispielsweise Site für Site tun, sodass Sie nur verhindern können, dass Paypal Javascript verwendet, und die eingeschränkte Funktionalität in Kauf nehmen.

Ebay wurde ebenfalls von infiziert Paypals Pseudo-Sicherheitsvirus. Sie haben das Einfügen in das Feld Kredit- / Debitkarte deaktiviert, wenn Sie Ihre automatische Zahlungsmethode aktualisieren.

Ehrlich gesagt kaufe ich ihre Gründe nicht. Ein technisch versierter Benutzer (oder Hacker) kann Javascript deaktivieren, um diese Funktion zu umgehen. Daher müssen Anfänger nur gezwungen werden, schwache Kennwörter zu verwenden (d. H. Solche, die sie möglicherweise eingeben müssen). Ich habe dies ihnen gemeldet, wurde aber vorhersehbar abgespeist - aus irgendeinem Grund schätzen es die Kundenbetreuer nie, über technische / sicherheitstechnische Probleme zu sprechen ...

Die britische Regierung hält Paypal / Ebay offiziell für dumm, dies zu tun - Siehe die Website des National Cyber ​​Security Centre.

Ich kann in die Login-Textfelder von PayPal kopieren. Ohne JS oder irgendetwas zu deaktivieren ...
@Tokk - mein Fehler, ich dachte, ich hätte geschrieben, dass es nur passiert, wenn Sie Ihr Passwort ändern. Die Antwort wurde aktualisiert!
Tatsächlich war die ganze Vorstellung, dass Passwörter immer gespeichert und niemals aufgeschrieben oder aufgezeichnet werden müssen, von Anfang an völlige Dummheit. Ich bevorzuge es viel lieber, dass Benutzer längere, bessere und unterschiedliche Passphrasen pro wichtiger Site generieren, die sie nur wöchentlich oder seltener verwenden, und entweder einen Passwort-Manager verwenden oder sie sogar auf Papier schreiben und dieses Papier in einem Safe zu Hause oder in einem Safe aufbewahren sogar eine abschließbare Schreibtischschublade. Das Mandat, dass * alle * Passwörter (unabhängig von Verwendung und Wert) nur gespeichert werden dürfen, hat in der heutigen Cyberwelt keinen Platz.
Das Deaktivieren des Kopierens und Einfügens im Formular "Neues Passwort" ist tatsächlich sinnvoll, da bei der zweimaligen Eingabe des Passworts Tippfehler vermieden werden müssen, sodass Sie Ihr Passwort doch nicht kennen.Wenn Sie den Tippfehler einfach kopieren und einfügen können, wird der Zweck dadurch zunichte gemacht. Noch ärgerlich für diejenigen von uns, die Passwort-Manager verwenden.
Bei @Ben- geht es nicht darum, von der ersten neuen Passwortbox in die zweite zu kopieren (was Sie zu Recht als verrückt bezeichnen), sondern darum, aus einer maßgeblichen Quelle zu kopieren und dasselbe zweimal einzufügen.
#5
+2
ChrisC79
2016-04-06 19:51:09 UTC
view on stackexchange narkive permalink

Es liegt eindeutig an fehlgeleiteten Sicherheitsrichtlinien im Unternehmen. Bet365 ist ein weiterer Schuldiger. Hinweis: Das Erzwingen der Eingabe von Kennwörtern ist nicht dasselbe wie das Blockieren der automatischen Vervollständigung.

Das Erzwingen der manuellen Eingabe von Kennwörtern hat Folgendes Auswirkungen auf die Sicherheit. Es fördert schwache Passwörter, an die man sich erinnern kann. Es fördert Passwörter, die auf mehreren Websites verwendet werden (da sie immerhin leichter zu merken sind). Es fördert schwache Passwörter, weil sie "gut" leichter zu tippen sind. Ein Keylogger auf dem Computer kann getippte Passwörter abfangen Gespeicherte komplexe Passwörter müssen wahrscheinlich zuerst in den Editor oder etwas anderes eingefügt werden, damit sie eingegeben werden können. Dann sind sie anfällig für Dinge wie Screen Grabber.

Das Risiko, ein Einfügen zuzulassen, ist wirklich nur eines , dass es irgendwo in einer Klartextdatei gespeichert sein kann, aber dies kann trotzdem der Fall sein, wenn Sie es eingeben.

#6
+1
SoWhat
2018-01-12 13:14:50 UTC
view on stackexchange narkive permalink

Dies ist ein alter Beitrag, ein wirklich alter, aber ich weiß, warum diese Websites das Einfügen von Passwörtern blockieren und dies nicht aus Sicherheitsgründen, die wirklich wichtig sind. Als ich meinen zweiten Job bei einem relativ großen Software-Dienstleistungsunternehmen (Read Technology Sweatshop) bekam, mussten wir drei Monate lang eine bezahlte Schulung absolvieren (Read Vacaction). Die Leute, die dort arbeiteten, begannen mit dem Codieren in HTML / Javascript Zuerst wurde die Benutzeroberfläche entworfen (schlecht gestalteter Spaghetti-Code gelesen).

Also bauten sie die Validierungen auf Javascript auf, um leere Felder, Regex usw. zu überprüfen, und natürlich mussten sie beim Tastendruck validieren. Das Problem war, dass es nicht funktionierte, wenn der Benutzer die Eingabe einfügte, sodass das Kopieren / Einfügen blockiert wurde, um zu verhindern, dass Benutzer unsichere Daten eingeben. Natürlich würden serverseitige Validierungen das Problem vollständig lösen, aber niemand hatte dort irgendwelche technischen Fähigkeiten. Diese Leute bauten / arbeiteten dann an Unternehmenssoftware und viele Banken und Unternehmenslösungen haben daher diese Einschränkung.

Das ist der wahre Grund, warum wir diese "Validierungen" haben, weil die Leute nicht herausfinden konnten, wie eingefügte Daten validiert werden können, und keine Ahnung hatten, wie Inhalte auf der Serverseite validiert werden sollen.

Einer der dortigen "Instruktoren" schlug tatsächlich vor, auf Client-Seite zu validieren, um die Belastung des Servers zu verringern.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 2.0-Lizenz, unter der er vertrieben wird.
Loading...