¿Es seguro enviar una contraseña no válida de vuelta al cliente?

Navega tus respuestas
1

Es común que los sitios web recuerden el valor de entrada del nombre de usuario después de un intento de inicio de sesión no válido, pero no el valor de entrada de la contraseña.

Toma SE por ejemplo. Cuando intento iniciar sesión con una contraseña no válida:

Larespuestacontieneminombredeusuarioperonomicontraseña:

¿Es esta una característica de seguridad o se relaciona solo con el diseño de la experiencia del usuario?

No estoy seguro porque algunos formularios de inicio de sesión, especialmente aquellos que envían las credenciales de forma asíncrona, recuerdan la contraseña.

    
pregunta User 12345678 20.06.2015 - 22:19
fuente

2 respuestas

3

Cuando las credenciales son incorrectas, el servidor le devuelve una página que contiene el nombre de usuario y quizás también la contraseña. Esto se debe hacer con https y los encabezados de almacenamiento en caché pidiendo que no se almacenen, pero existe la posibilidad de que la página de error que se envió con la contraseña proporcionada en la fuente se almacene en algún lugar (caché del navegador, un intermediario proxy ...).

Cuando hay un inicio de sesión asíncrono, la página en sí no se vuelve a cargar y, por lo tanto, este problema no se produce.

Con un formulario de inicio de sesión, casi siempre desea borrar la contraseña, ya que el usuario tendrá que volver a escribirla de todas formas ya que estaba equivocada (y es poco probable que sepa cuál fue su error tipográfico).

El debate sobre si el campo de la contraseña suele estar en blanco o no en blanco, se produce cuando se trata del formulario de registro. Ahí es probable que un campo no relacionado sea rechazado (por ejemplo, nombre de usuario tomado) y el usuario debe proporcionar un nuevo nombre de usuario (que puede no estar disponible, tampoco) y la contraseña y la confirmación de la contraseña. Eso hace que una UI desagradable. Y allí hay diferentes opiniones sobre qué vino debería.

    
respondido por el Ángel 21.06.2015 - 00:15
fuente
1

Al intentar iniciar sesión e ingresar la contraseña incorrecta, afirmaría que no hay una razón razonable para mantener la contraseña ingresada: el usuario no puede ver los caracteres y, por lo tanto, no puede ver ningún error que hayan cometido. ni corregirlo, por lo que tendrían que empezar de nuevo de todos modos.

Además, hay una razón razonable para no almacenar contraseñas no válidas durante un período de tiempo superior al requerido para descubrir que está mal y sobrescribir la memoria RAM en la que está almacenado, y ese es uno muy un error común para las personas con múltiples contraseñas es ingresar correctamente una contraseña en el sitio incorrecto; es decir, puse mi contraseña del Banco de Inglaterra en Stack Exchange por error, o ingresé la contraseña de mi trabajo en el sitio web del Banco de Inglaterra.

Por lo tanto, dado que la experiencia del usuario no es útil al conservar una contraseña que no funciona, y existen problemas de seguridad legítimos para mantenerla, en un formulario de inicio de sesión, siempre se debe eliminar.

    
respondido por el Anti-weakpasswords 21.06.2015 - 02:06
fuente

Lea otras preguntas en las etiquetas

empleado infectado que usa la oficina VPN fue parte de un ataque DDoS ¿Por qué AJAX no se utiliza para iniciar sesión?