Hoy inicié sesión para pagar la factura de mi teléfono y descubrí que el sitio ha desactivado la función de pegado en el campo de contraseña.
Soy un webdev y sé cómo arreglar esto, pero para el usuario normal es REALMENTE molesto tener que escribir una contraseña aleatoria como o\&$t~0WE'kL .
Sé que es normal que los usuarios escriban la contraseña al crear una cuenta , pero ¿hay alguna razón para desactivar el pegado de contraseñas durante el inicio de sesión ?
No hay un beneficio de seguridad sustancial para rechazar contraseñas pegadas; por el contrario, es probable que debilite la seguridad al desalentar el uso de administradores de contraseñas para generar y autocompletar contraseñas aleatorias. Si bien algunos administradores de contraseñas son capaces de anular las restricciones de pegado, el punto sigue siendo que los usuarios no deben ser obligados a escribir su contraseña manualmente.
Extracto de un artículo de WIRED :
Sitios web, deje de bloquear a los administradores de contraseñas. Es 2015
Pero lo que es una locura es que, en 2015, algunos sitios web son intencionalmente deshabilitar una función que le permitiría usar contraseñas más seguras más fácilmente, y muchos lo están haciendo porque argumentan erróneamente que hace usted más seguro.
Aquí está el problema: algunos sitios no te permiten pegar contraseñas en pantallas de inicio de sesión, lo que le obliga, en cambio, a escribir las contraseñas. Esta hace que sea imposible utilizar ciertos tipos de administradores de contraseñas que son Una de las mejores líneas de defensa para mantener las cuentas bloqueadas.
La desactivación de pegar un campo de contraseña introduce un " efecto Cobra ". Un efecto Cobra "ocurre cuando un intento de solución a un problema en realidad empeora el problema".
Troy Hunt escribió recientemente un artículo en el que lo explica con más detalle . Es esencialmente un teatro de seguridad, como lo que sucede en los aeropuertos para "hacernos más seguros". Troy Hunt lo llama efecto Cobra porque desactiva el uso de contraseñas seguras de 50 caracteres que se pegarían desde un administrador de contraseñas. En el mejor de los casos, obliga a las personas a crear contraseñas que sean fáciles de recordar y, por lo tanto, más hackeables.
Algunos podrían decir que lo hace más seguro porque evita que su portapapeles sea copiado por malware, pero ignoran el hecho de que si el malware ya puede hacer eso, también pueden copiar todo tipo de pulsaciones de teclas, no solo Ctrl + V. Es inútil.
Desde una perspectiva de UX, es simplemente molesto, como usted dice. Así que es molesto desde una perspectiva de UX, y no nos hace más seguros. No tiene sentido esta "característica".
No, no hay ninguna razón sensata para hacer esto. Es malo UX, simple y llanamente. Deshabilitar el pegado en un campo de contraseña es realmente alentar contraseñas malas. Los administradores de contraseñas borran automáticamente el portapapeles después de pegar, por lo que ese argumento ya no es válido.
El principal argumento de seguridad para no permitir la copia y el pegado de contraseñas es que la contraseña permanece en el portapapeles de los usuarios posteriormente. Esto puede conducir a la exposición accidental de la contraseña en un contexto no relacionado. Por ejemplo, cuando el usuario lo pega accidentalmente en un campo de entrada diferente en una aplicación diferente (web o de otro tipo). Otro escenario posible podría ser cuando el usuario se aleja de su dispositivo sin bloquearlo y alguien más presiona ctrl + v para verificar lo que tienen en su portapapeles.
Sin embargo, este es un riesgo realmente pequeño en comparación con las enormes ventajas de seguridad que tienen los administradores de contraseñas. Además, los administradores de contraseñas a menudo tienen una función para borrar automáticamente el portapapeles unos segundos después de copiar una contraseña, lo que reduce enormemente este riesgo.
Hay razones para hacerlo, aunque no muy buenas.
Básicamente, desaconseja copiar y pegar. Esto significa que es menos probable que los usuarios lo olviden en su portapapeles y lo filtren accidentalmente. Además, si lo están pegando, significa que lo han guardado en algún lugar (como un archivo de texto), que no es tan seguro como su cerebro, por lo que si el archivo de texto se vuelve inútil, tal vez confiarán más en su memoria.
Por supuesto, estos no tienen realmente sentido. Muchas personas que copian y pegan lo hacen desde su administrador de contraseñas, que está muy bien protegido. Los administradores de contraseñas también borran automáticamente el portapapeles y, como se señaló en otra parte, ¿cuáles son las probabilidades de que su usuario tenga un keylogger que pueda leer el portapapeles pero no las teclas presionadas?
Para mí, cosas como esta revelan una especie de desprecio por la inteligencia del usuario. Básicamente, dice: "eres demasiado tonto para que no te roben tu contraseña, eres demasiado tonto para seguir pautas simples de seguridad, solo te vamos a atar este arnés de bebé para protegerte de ti mismo". No importa que cuando se roben sus datos de inicio de sesión, es mucho más probable que se deba a una violación de datos en el lado del servidor, en lugar de una fuga del portapapeles en el lado del cliente. Intento evitar esos sitios si es posible, ya que me hacen pensar que no soy el público adecuado para el sitio.
Afortunadamente, muchos administradores de contraseñas están empezando a emular solo presionar teclas en lugar de pegarlas, por lo que al final el chiste está en ellas.
Realmente puedo pensar en exactamente una buena razón para no permitir el pegado de contraseñas. Al establecer inicialmente su contraseña, o cambiarla.
El motivo es que existe una pequeña posibilidad de que, por el motivo que sea, no hayas podido copiar tu contraseña en el portapapeles cuando creías que lo había hecho, por lo que lo que pegas en el campo de la contraseña es en realidad cualquier tontería. Portapapeles antes de eso. Dado que el campo de la contraseña está enmascarado, no tendría forma de saber que acaba de pegar
826 W. Main St. en el nuevo campo de contraseña, en lugar de
Bubblez84-l0ve!
o
h*7dn$l83k&(4;p
como pensabas que tenías. Lo que será un problema real la próxima vez que intente iniciar sesión.
Muchas de las respuestas señalan que esta es una mala práctica porque puede romper los administradores de contraseñas. Si bien se debe alentar el uso de administradores de contraseñas, se debe desalentar el almacenamiento de contraseñas en el portapapeles. El portapapeles no es un casillero seguro especial para información y por su diseño hace que su contenido sea fácil de acceder y no ofrece cifrado.
Aquí hay solo un escenario de cómo podría ser explotado:
Incluso ha habido casos en los que alguien compró un montón de anuncios de Rich Media en un montón de sitios web bien conocidos. Aunque parecían un anuncio flash aparentemente inofensivo, en realidad estaba robando los datos del portapapeles de los visitantes con la esperanza de obtener información útil.
Entonces, para cerrar, si tienes algo que quieres mantener seguro, no lo guardes en el portapapeles .
Soy un gerente de producto para la seguridad en línea en una empresa muy grande.
En realidad tuve una reunión hoy sobre la desactivación de pegar contraseñas. Permitimos pegar contraseñas en este momento, pero pensamos en cambiarlas.
Hay diferentes perspectivas que puede adoptar en este enfoque y los pros / contras pueden variar completamente dependiendo del caso de uso que tenga y de cómo esté protegido su sitio y si utiliza 2FA o no.
Personalmente, no deshabilitaría el pegado de contraseñas para sitios que solo dependen del nombre de usuario y amp; Contraseña para el inicio de sesión.
Estoy pensando en desactivarlo en nuestro caso por varias razones
La fortaleza de su contraseña no lo hace más seguro en nuestro caso. Sí, ya sé que desde hace años les estamos diciendo a las personas que deben elegir una contraseña razonablemente segura, pero al final esto no nos ayudará ni un poco si su computadora está infectada con malware. Al malware no le importa si su contraseña es "12345" o una cifra de 100 caracteres super complicada. Lo roba o se hace cargo de su sesión.
No corremos el riesgo de ataques de fuerza bruta o de contraseña. Hay formas de mitigar lo que existe en nuestro caso.
Existen soluciones biométricas de comportamiento en las que los perfiles se crean en función de la dinámica de pulsaciones de teclas, etc. que permiten, con un alto grado de certeza, identificar si un usuario que ingresa las credenciales es realmente el usuario que esperamos. Las credenciales son verdaderas o falsas. Si alguien tiene sus credenciales es capaz de autenticarse. Por esta razón, me gustaría saber si la persona que está ingresando las credenciales correctas es la persona que esperamos conocer. El nombre de usuario y la contraseña deben ingresarse cada vez que se inicia el proceso de inicio de sesión, por lo que esos campos son bastante interesantes para verificar si dicha solución se implementa en la organización. Esto no es posible si alguien copia / pega su contraseña.
Todavía no he decidido sobre desactivarlo en nuestro caso. Como siempre, necesitamos mantener un equilibrio entre la usabilidad y la seguridad.
Otras respuestas han dado explicaciones más detalladas, pero en resumen, recuerde que el mayor riesgo de seguridad con respecto a las contraseñas aún proviene de los ataques dirigidos a los servidores, no a un cliente. En otras palabras, tener su contraseña en el portapapeles realmente no la pone en riesgo, ya que si se descifrara la contraseña, es más probable que se descifre de una base de datos de contraseñas robada del servidor o incluso forzada por la ley que robada de su portapapeles.
Por lo tanto, es importante que, como han señalado otras respuestas, evitar que un usuario pegue su contraseña no le permita tener una contraseña compleja, lo que hace que su contraseña sea más fácil para la fuerza bruta y, por lo tanto, menos segura.
Creo que depende de los servicios que están protegidos por el formulario de inicio de sesión. Es importante tener en cuenta que un administrador de contraseñas puede restringir el inicio de sesión en el dispositivo donde está instalado el administrador de contraseñas, que no siempre es con lo que el proveedor de servicios está de acuerdo. Por ejemplo, si el servicio era un banco que desea darles a sus usuarios la oportunidad de bloquear tarjetas en caso de pérdida o robo, es posible que no desee restringir este privilegio a los casos en que el dispositivo que ejecuta el administrador de contraseñas tampoco se perdió o fue robado. .
Lea otras preguntas en las etiquetas web-application passwords password-management