¿Es una buena práctica imponer una acción de entrada en el campo de contraseña en una aplicación web?

2

Soy de la escuela de pensamiento que dice que nunca debes tener el navegador "recuerda tu contraseña" porque si lo usas con suficiente frecuencia, podrás conservar esa información. Ahora quiero aplicar esto en el software de aplicación web que estamos construyendo. Independientemente de si el navegador lo recuerda y / o lo llena automáticamente o no, todavía creo que es propicio para la seguridad de la aplicación web si algún usuario aún tuviera que escribir la contraseña. De esta manera, casi se garantiza que el usuario que está sentado en la terminal es el usuario que inicia sesión.

Ahora me pregunto por qué esto no es un estándar todavía.

    
pregunta Dark Star1 27.10.2015 - 13:14
fuente

4 respuestas

4
  

.... porque si lo usas a menudo,   podrás conservar esa información.

Sí, pero su enfoque tendría efectos secundarios:

  • Si deshabilita la opción Recordar mi contraseña, el usuario elegirá una contraseña fácil de recordar, que se puede adivinar o descifrar fácilmente.
  • Sin embargo, habilitarlo, solucionaría este problema ya que el usuario puede usar una contraseña segura y larga, ya que no se preocupará de recordarlo.
  • Una contraseña guardada en la base de datos del navegador (al habilitar la opción Recordarme) es más difícil de poner en peligro por un atacante que una contraseña segura que el usuario debe guardar en un archivo de texto / texto de MS Word (la opción Recordarme de mi caso está desactivada)
  • Piense en un usuario que se conecta desde su teléfono donde el teclado no puede tener todos los caracteres complicados que estaba acostumbrado a escribir en su computadora (mientras que el usuario podría copiar o pasar la primera vez que usa su aplicación web para tareas complicadas). personajes de Google y marque la opción de recordarme después de eso)

Por lo tanto, debe evaluar los pros y los contras de deshabilitar la opción Recordarme antes de decidir deshabilitar / habilitar la opción Recordarme.

    
respondido por el user45139 27.10.2015 - 15:49
fuente
7

Si desea asegurarse (o al menos hacer más probable) el hecho de que su usuario está realmente sentado en el otro lado del navegador, debe implementar la autenticación multifactorial.

Como mencionó @Jay (y estoy totalmente de acuerdo, según mi comentario) inhabilitar la capacidad de ingresar una contraseña es algo terrible. No es fácil de usar y no ayuda a la seguridad.

ACTUALIZACIÓN: incidentalmente, me topé con un artículo interesante justo sobre el mismo tema (a partir de 2014).

    
respondido por el WoJ 27.10.2015 - 15:05
fuente
4

Esta es una mala idea desde el punto de vista de la seguridad.

Básicamente, usted alienta al usuario final a burlar su seguridad ya sea escribiendo la contraseña o eligiendo una contraseña realmente simple que sea trivial de piratear.

También desde una experiencia de usuario, estás 'forzando algo en la garganta' que realmente no les gusta. Esto hace que no les guste tu aplicación web, no importa lo buena que sea.

Si realmente desea asegurarse de que el usuario final está ingresando la información, use la autenticación de 2 factores. De esa manera, necesita una entrada que sea diferente cada vez que haya un inicio de sesión.

en una nota al margen, Gracias por memorizar tus contraseñas, pero para la mayoría de las personas significa reutilizar la contraseña, lo que puede tener una implicación mucho mayor.

    
respondido por el LvB 27.10.2015 - 15:06
fuente
1

Yo diría que depende. En la mayoría de las pruebas de vulnerabilidad y penetración que he pasado, me parece que el autocompletado está habilitado en el formulario. Sin embargo; Me encuentro con el mismo problema que se menciona, los clientes pueden estar alejados y ser expulsados.

Lo que hice fue realizar una evaluación de riesgos para determinar cuál es el riesgo real de tener habilitado el formulario. En general, la forma de obtener la contraseña requeriría la propiedad maliciosa del escritorio, ya sea por parte de un malware o un usuario no autorizado. Básicamente, usted está tratando de controlar un riesgo sobre el que no tiene ningún efecto. Por lo tanto, a menos que exista alguna preocupación regulatoria, realmente no tendría mucho problema al dejar el autocompletado activado.

    
respondido por el FordPre 04.11.2015 - 23:51
fuente

Lea otras preguntas en las etiquetas