it-swarm.com.de

Gibt es einen Grund, das Einfügen eines Passworts bei der Anmeldung zu deaktivieren?

Heute habe ich mich angemeldet, um meine Handyrechnung zu bezahlen, und festgestellt, dass die Website die Funktion zum Einfügen in das Kennwortfeld deaktiviert hat.

Ich bin ein Webdev und ich weiß, wie man behebt dies, aber für normale Benutzer ist es WIRKLICH ärgerlich, a eingeben zu müssen zufälliges Passwort wie o\&$t~0WE'kL.

Ich weiß, dass es normal ist, Benutzer dazu zu bringen, das Passwort zu schreiben, wenn ein Konto erstellt wird, aber gibt es einen Grund, das Einfügen von Passwörtern zu deaktivieren während der Anmeldung?

219
IAmJulianAcosta

Das Nichtzulassen eingefügter Kennwörter bietet keinen wesentlichen Sicherheitsvorteil. im Gegenteil, es wird wahrscheinlich die Sicherheit schwächen, indem von der Verwendung von Passwort-Managern zum Generieren und automatischen Ausfüllen zufälliger Passwörter abgeraten wird. Während einige Passwortmanager in der Lage sind, Einfügungsbeschränkungen zu überschreiben, besteht der Punkt immer noch darin, dass Benutzer nicht gezwungen werden sollten, ihr Passwort manuell einzugeben.

Auszug aus einem relevanten WIRED-Artikel :

Websites, bitte hören Sie auf, Passwort-Manager zu blockieren. Es ist 2015

Was jedoch verrückt ist, ist, dass einige Websites im Jahr 2015 absichtlich eine Funktion deaktivieren, mit der Sie leichtere Kennwörter einfacher verwenden können - und viele tun dies, weil sie fälschlicherweise argumentieren, dass Sie dadurch sicherer werden.

Hier ist das Problem: Auf einigen Websites können Sie keine Kennwörter in Anmeldebildschirme einfügen. Stattdessen müssen Sie die Kennwörter eingeben. Dies macht es unmöglich, bestimmte Arten von Passwort-Managern zu verwenden, die eine der besten Verteidigungslinien für die Sperrung von Konten darstellen.

259
tlng05

Durch Deaktivieren des Einfügens eines Kennwortfelds wird ein " Cobra-Effekt " eingeführt. Ein Cobra-Effekt "tritt auf, wenn ein Lösungsversuch das Problem tatsächlich verschlimmert."

Troy Hunt hat kürzlich einen Artikel geschrieben, in dem er ihn ausführlicher erklärt . Es ist im Wesentlichen ein Sicherheitstheater, wie es auf Flughäfen passiert, um "uns sicherer zu machen". Troy Hunt nennt es einen Cobra-Effekt, da er die Verwendung sicherer Kennwörter mit 50 Zeichen deaktiviert, die von einem Kennwortmanager eingefügt werden. Bestenfalls zwingt es die Leute, Passwörter zu erstellen, die leicht zu merken und damit hackbarer sind.

Einige mögen sagen, dass es Sie sicherer macht, weil es verhindert, dass Ihre Zwischenablage von Malware kopiert wird, aber sie ignorieren die Tatsache, dass Malware, wenn dies bereits möglich ist, auch alle Arten von Tastendrücken kopieren kann, nicht nur Strg + V. Es ist zwecklos.

Aus UX-Sicht ist es nur ärgerlich, wie Sie sagen. Aus UX-Sicht ist es also ärgerlich und macht uns nicht sicherer. Diese "Funktion" hat keinen Sinn.

105
RommelTJ

Nein, dafür gibt es keinen vernünftigen Grund. Es ist schlicht und einfach schlechtes UX. Das Deaktivieren des Einfügens in ein Kennwortfeld führt tatsächlich zu fehlerhaften Kennwörtern. Kennwortmanager löschen die Zwischenablage nach dem Einfügen automatisch, sodass dieses Argument nicht mehr gültig ist.

32
thomasyung

Das wichtigste Sicherheitsargument, um das Kopieren und Einfügen von Kennwörtern zu verbieten, besteht darin, dass das Kennwort anschließend in der Zwischenablage des Benutzers verbleibt. Dies kann dazu führen, dass das Kennwort versehentlich in einem nicht verwandten Kontext angezeigt wird. Zum Beispiel, wenn der Benutzer es dann versehentlich in ein anderes Eingabefeld in einer anderen Anwendung (Web oder auf andere Weise) einfügt. Ein anderes mögliches Szenario könnte sein, wenn der Benutzer sein Gerät verlässt, ohne es zu sperren, und jemand anderes Strg + V drückt, um zu überprüfen, was sich in seiner Zwischenablage befindet.

Dies ist jedoch ein sehr geringes Risiko im Vergleich zu den enormen Sicherheitsvorteilen, die Kennwortmanager haben. Außerdem verfügen Kennwortmanager häufig über die Funktion, die Zwischenablage einige Sekunden nach dem Kopieren eines Kennworts automatisch zu löschen, wodurch dieses Risiko erheblich verringert wird.

26
Philipp

Es gibt Gründe dafür, wenn auch nicht sehr gute.

Grundsätzlich wird vom Kopieren und Einfügen abgeraten. Dies bedeutet, dass Benutzer es weniger wahrscheinlich in ihrer Zwischenablage vergessen und es versehentlich durchgesickert sind. Auch wenn sie es einfügen, bedeutet dies, dass sie es irgendwo gespeichert haben (wie in einer Textdatei), was nicht so sicher ist wie ihr Gehirn. Wenn die Textdatei also unbrauchbar wird, verlassen sie sich möglicherweise mehr auf ihr Gedächtnis.

Natürlich machen diese eigentlich keinen Sinn. Viele Leute, die kopieren und einfügen, tun dies über ihren Passwort-Manager, der sehr gut geschützt ist. Passwortmanager löschen automatisch auch die Zwischenablage. Wie an anderer Stelle erwähnt, wie hoch ist die Wahrscheinlichkeit, dass Ihr Benutzer einen Keylogger hat, der die Zwischenablage lesen kann, aber nicht die Tastendrücke?

Für mich offenbaren solche Dinge eine Art Verachtung für die Intelligenz des Benutzers. Es heißt im Grunde: "Sie sind zu dumm, um Ihr Passwort nicht zu stehlen. Sie sind zu dumm, um einfache Sicherheitsrichtlinien zu befolgen. Wir werden Ihnen nur dieses Babygeschirr umschnallen, um Sie vor sich selbst zu schützen." Bedenken Sie jedoch, dass der Diebstahl Ihrer Anmeldedaten eher auf einen Datenverstoß auf der Serverseite als auf ein Leck in der Zwischenablage auf der Clientseite zurückzuführen ist. Ich versuche, solche Websites möglichst zu meiden, da sie mich glauben lassen, dass ich nicht das richtige Publikum für die Website bin.

Glücklicherweise beginnen heutzutage viele Passwort-Manager, nur Tastendrücke zu emulieren, anstatt sie direkt einzufügen, so dass am Ende der Witz auf ihnen liegt.

12
Superbest

Ich kann mir tatsächlich genau einen guten Grund vorstellen, das Einfügen von Passwörtern zu verbieten. Wenn Sie Ihr Passwort anfänglich festlegen oder ändern.

Der Grund dafür ist, dass es eine geringe Wahrscheinlichkeit gibt, dass Sie aus irgendeinem Grund Ihr Passwort nicht in die Zwischenablage kopiert haben, als Sie dachten, dass Sie es hatten. Was Sie also in das Passwortfeld einfügen, ist eigentlich nur der Unsinn, der zuvor in Ihrer Zwischenablage war . Da das Kennwortfeld maskiert ist, können Sie nicht wissen, dass Sie es gerade eingefügt haben

826 W. Main St. in das neue Passwortfeld anstelle von

Bubblez84-l0ve!
oder
h*7dn$l83k&(4;p

wie du gedacht hast. Dies ist ein echtes Problem, wenn Sie das nächste Mal versuchen, sich anzumelden.

9
Dan Henderson

Ich bin Produktmanager für Online-Sicherheit in einem sehr großen Unternehmen.

Ich hatte heute tatsächlich ein Meeting zum Deaktivieren des Einfügens von Passwörtern. Wir erlauben im Moment das Einfügen von Passwörtern, denken aber darüber nach, diese zu ändern.

Es gibt verschiedene Perspektiven, die Sie für diesen Ansatz einnehmen können, und die Vor- und Nachteile können je nach Anwendungsfall, Sicherheit Ihrer Website und Verwendung von 2FA vollständig variieren.

Persönlich würde ich das Einfügen von Passwörtern für Websites, die sich nur auf Benutzername und Passwort für die Anmeldung stützen, nicht deaktivieren.

Ich denke darüber nach, es in unserem Fall aus mehreren Gründen zu deaktivieren

  • Die Stärke Ihres Passworts macht Sie in unserem Fall nicht sicherer. Ja, ich weiß, wir sagen den Leuten seit Ewigkeiten, dass sie ein einigermaßen sicheres Passwort wählen sollen, aber am Ende hilft Ihnen das nicht ein bisschen, wenn Ihr Computer mit Malware infiziert ist. Malware ist es egal, ob Ihr Passwort "12345" oder eine super komplizierte 100-Zeichen-Chiffre ist. Es stiehlt es entweder oder übernimmt Ihre Sitzung.

  • Wir sind nicht dem Risiko von Brute-Force- oder Passwort-Raten-Angriffen ausgesetzt. Es gibt Möglichkeiten, dem entgegenzuwirken, was in unserem Fall vorhanden ist.

  • Es gibt verhaltensbiometrische Lösungen, bei denen Profile auf der Grundlage der Tastendynamik usw. erstellt werden, mit denen mit hoher Sicherheit festgestellt werden kann, ob ein Benutzer, der die Anmeldeinformationen eingibt, tatsächlich der von uns erwartete Benutzer ist. Anmeldeinformationen sind wahr oder falsch. Wenn jemand Ihre Anmeldeinformationen hat, kann er sich authentifizieren. Aus diesem Grund möchte ich wissen, ob die Person, die die richtigen Anmeldeinformationen eingibt, tatsächlich die Person ist, von der wir erwarten, dass sie sie kennt. Benutzername und Kennwort müssen jedes Mal während des Anmeldevorgangs eingegeben werden, daher sind diese Felder sehr interessant, um zu überprüfen, ob eine solche Lösung in der Organisation bereitgestellt wird. Dies ist nicht möglich, wenn jemand sein Passwort kopiert/einfügt.

Ich habe mich noch nicht entschieden, es in unserem Fall zu deaktivieren. Wie immer müssen wir ein Gleichgewicht zwischen Benutzerfreundlichkeit und Sicherheit halten.

2
securityPM

Viele der Antworten weisen darauf hin, dass dies eine schlechte Praxis ist, da dadurch Kennwortmanager beschädigt werden können. Während die Verwendung von Passwort-Managern empfohlen werden sollte, sollte das Speichern von Passwörtern in der Zwischenablage dringend empfohlen werden. Die Zwischenablage ist kein spezielles sicheres Schließfach für Informationen und erleichtert den Zugriff auf Inhalte und bietet keine Verschlüsselung.

Hier ist nur ein Szenario, wie dies ausgenutzt werden könnte:

  • Der Benutzer kopiert das Passwort im Klartext.
  • Der Benutzer besucht eine andere Website mit einer Flash-Anwendung, während er nur im Internet surft. Oder die Website wurde vom Angreifer absichtlich an das Opfer gesendet.
  • Flash ermöglicht den Zugriff auf die Zwischenablage als API. So kann leicht auf den Inhalt der Zwischenablage zugegriffen und an den Angreifer gesendet werden.

Es gab sogar Fälle, in denen jemand eine Reihe von Rich Media-Anzeigen auf einer Reihe bekannter Websites gekauft hat. Während sie wie eine scheinbar harmlose Flash-Anzeige aussahen, stahl sie tatsächlich die Zwischenablagedaten der Besucher in der Hoffnung, nützliche Informationen zu erhalten.

Zum Schluss wenn Sie etwas haben, das Sie sicher aufbewahren möchten, speichern Sie es nicht in der Zwischenablage.

1
Bacon Brad

Andere Antworten haben ausführlichere Erklärungen gegeben, aber denken Sie kurz daran, dass das größte Sicherheitsrisiko in Bezug auf Kennwörter immer noch von Angriffen ausgeht, die auf die Server und nicht auf einen Client gerichtet sind. Mit anderen Worten, wenn Sie Ihr Passwort in der Zwischenablage haben, ist es nicht wirklich gefährdet, denn wenn das Passwort geknackt würde, würde es eher aus einer Passwortdatenbank geknackt, die vom Server gestohlen oder sogar brutal erzwungen wurde, als aus Ihrer Zwischenablage gestohlen.

Daher ist es wichtig, dass, wie andere Antworten gezeigt haben, das Verhindern, dass ein Benutzer sein Kennwort einfügt, ihn davon abhält, ein komplexes Kennwort zu haben, wodurch sein Kennwort leichter zu erzwingen und daher weniger sicher ist.

1
Micheal Johnson