Digamos que tenemos una página de registro en un sitio web, ¿por qué no deberíamos devolver contraseñas como nombre de usuario, nombres o cualquier otra información en el formulario de envío de errores?
Por ejemplo:
-
El usuario va a example.com/signup.php e ingresa su nombre de usuario, nombre, correo electrónico y contraseña deseados. El usuario también debe ingresar una entrada de captcha.
-
Él / ella ingresa todo correctamente excepto captcha.
-
El sitio web advierte al usuario que ingresó incorrectamente el valor de captcha y vuelve a completar las entradas de nombre de usuario, nombre y correo electrónico de acuerdo con los valores ya enviados, pero deja la entrada de la contraseña en blanco.
En este paso, cuando necesitan volver a ingresar la contraseña, un porcentaje valioso de usuarios (como yo, a veces) detendrán el registro y abandonarán el sitio web.
¿Cuál es el beneficio de seguridad con este método?