¿Se debe permitir al usuario guardar la contraseña en el navegador?

11

La empresa de auditoría encontró un error "El atributo de formulario Autocompletar se establece en el campo de contraseña". Ellos sugirieron desactivar el autocompletado en este campo para evitar que se divulgue "cuando se trabaja en entornos compartidos como las cafeterías de Internet"

Pero deshabilitar el atributo autocompletar no impide que el navegador almacene la contraseña al registrarse. ¿Cómo evito que los usuarios almacenen la contraseña en su navegador? (es decir, la aparición de la ventana emergente del navegador "¿Desea guardar esta contraseña?" después de registrarse o iniciar sesión)

El almacenamiento de la contraseña en el navegador del usuario puede ser peligroso debido a los troyanos que pueden robarlo. Sin embargo, la contraseña de autocompletado puede ayudar a los registradores de llaves ya los hombres que se quedan detrás del hombro. Entonces, ¿se debe permitir al usuario almacenar la contraseña en su navegador?

    
pregunta Andrei Botalov 02.02.2012 - 14:14
fuente

2 respuestas

9

Hay diferentes características en juego aquí. Los navegadores ofrecen autocompletar los campos de texto con valores ingresados previamente, lo que requiere almacenar un historial de los valores ingresados previamente en el mismo campo. Este historial se almacena en texto claro y sin ningún comentario del usuario. Un campo de contraseña nunca debe estar sujeto a dicho almacenamiento de historial y autocompletado.

Los navegadores también tienen una característica distinta específicamente dirigida a las contraseñas. Las contraseñas (que la página web declara como tales) solo se almacenan si el usuario responde explícitamente "sí" a un aviso. La mayoría de los navegadores preguntan alguna variación sobre "¿Desea guardar las contraseñas? Sí / No / Nunca para este sitio ". Además, el usuario puede poner una contraseña maestra en el almacenamiento de contraseñas, que protege las contraseñas mientras el usuario no está usando la computadora.

En la mayoría de los casos, debe declarar las contraseñas como tales y permitir que se guarden en el navegador. Esto coloca la responsabilidad de la seguridad de la contraseña en el usuario, y como lo explica Tom Leek , esto suele ser lo correcto. Si no lo haces, es probable que los usuarios escriban la contraseña en un archivo de texto. Si los usuarios usan una computadora compartida o troyana, han perdido de todos modos. Si el usuario acepta el almacenamiento de contraseñas, no se gana nada negándole esa función.

    
respondido por el Gilles 02.02.2012 - 17:57
fuente
10

No puede evitar que el usuario escriba su contraseña en una nota adhesiva y la "oculte" debajo del teclado. No puede evitar que el usuario le dé su contraseña a su esposa, amigos y colegas. No se puede evitar que el usuario elija como contraseña la identificación tatuada en la oreja de su perro (incluso hubo un comercial de un gran banco francés que promovió exactamente eso). En este caso, no puede evitar que los usuarios escriban su contraseña en una máquina de cafetería de Internet, lo que ya es una mala idea, debido a la amenaza de registradores clave.

Por lo tanto, tiendo a decir que la seguridad de las contraseñas es responsabilidad del usuario, y si tiene la intención de hacer algo estúpido, no puede evitarlo realmente.

Tenga en cuenta que "autocompletar" es algo un poco diferente, porque se trata de un navegador web que llena los datos automáticamente independientemente de la página de destino; Normalmente, la función de "contraseña guardada" está vinculada en el navegador a una página específica (o sitio), por lo que no presenta los problemas de privacidad que tienen los elementos de los campos sin contraseña completados automáticamente (y que su compañía de auditoría señala correctamente) . Se supone que el guardado de contraseñas debe manejarse con suficiente cuidado por el propio navegador.

Sin embargo, parece haber algunas formas de evitar el almacenamiento de contraseñas desde la propia página, o al menos las personas que comparten su preocupación, posiblemente por razones administrativas que pueden o no estar justificadas racionalmente; vea, por ejemplo, esta pregunta sobre StackOverflow .

    
respondido por el Tom Leek 02.02.2012 - 14:36
fuente

Lea otras preguntas en las etiquetas