Utilizo algunos sitios web que me impiden copiar & pegar en los campos de nombre de usuario o contraseña. Es bastante frustrante usar un administrador de contraseñas y, en cualquier caso, creo que desalienta a los usuarios de una buena administración de contraseñas porque tendrán que elegir algo que puedan escribir manualmente una y otra vez.
¿Existe realmente algún beneficio para evitar la operación de pegado en una aplicación o sitio web?
En mi opinión, no creo que sea una ganancia neta. Esas restricciones siempre me frustran.
(Espero que alguien aquí publique detalles acerca de cómo desactivar o trabajar con ellos. ¿Tal vez un cambio en el user_prefs.js de Firefox? ¿Una extensión?)
Probablemente la razón por la que los sitios deshabilitan el administrador de contraseñas es porque les preocupa que Alice pueda sentarse frente al navegador de Bob e iniciar sesión en el sitio web como Bob, tal vez comprando algo en la pestaña de Bob. Esto es particularmente un problema para los compañeros de cuarto, los miembros de la familia, etc. que viven juntos. (Vea también "fraude amistoso"). Un riesgo relacionado es que Bob podría comprar algo, pero luego afirmar que Alice lo hizo para evitar pagar por ello. Presumiblemente, los sitios esperan que al deshabilitar el administrador de contraseñas, Bob se verá obligado a escribir su contraseña cada vez que sea necesario; Alice no sabrá la contraseña y no podrá escribirla.
Sin embargo, estas restricciones tienen un costo significativo. Hacen el sitio web menos utilizable y más molesto para los usuarios. También llevan a los usuarios a seleccionar contraseñas deficientes (que pueden ser más susceptibles a los ataques de adivinación de contraseñas) o a anotar sus contraseñas (lo que podría permitir que los compañeros de habitación y los miembros de la familia aprendan la contraseña, dejando a todos de vuelta donde empezamos). Para los usuarios que confían en todos los demás que tienen acceso físico a su computadora, estas restricciones reducen estrictamente la seguridad.
Personalmente, sospecho que la mayoría de los sitios deberían ser reacios a emplear tales medidas. Lo más probable es que molestará a sus usuarios más de lo que los ayudará. Pero estará en una mejor posición para tomar una decisión informada.
Si decide emplear dichas restricciones, podría considerar brindarles a los usuarios una forma de no participar si no comparten su computadora con otros. Quizás esto solo sea de interés para los usuarios avanzados, así que no sé si vale la pena su tiempo, pero podría considerarlo.
Las dos razones principales que siempre me indicaron son:
El número 2 es el más importante, creo. Es lo suficientemente difícil persuadir a las personas para que recuerden sus contraseñas cuando se retiran de las vacaciones. La carga de la mesa de ayuda es alta después de cualquier fiesta importante, y las compañías intentan reducir esto.
Personalmente no creo que haya ningún beneficio real. Estoy de acuerdo con la idea de que probablemente molestarás a tus usuarios para que elijan algo que no sea útil.
Dicho esto, creo que las razones utilizadas son:
Aunque podría ser racional que pudiera defenderse de que Little Johnny vacíe la cuenta bancaria de su madre, no veo mucho más en la práctica. Me imagino que si puedes enganchar el archivo de contraseña, probablemente puedas fisgonear en la entrada del teclado.
Un ejemplo de este comportamiento es Paypal: evitan que se peguen en los cuadros de contraseña cuando se cambia su contraseña (pero no cuando se ingresa su contraseña para iniciar sesión, ¡trabaje con una!). Su razonamiento es:
La función de usar control-V no está disponible para restablecer la contraseña, ya que esta es una de nuestras formas de asegurar (sic) que, de hecho, es el titular de la cuenta quien accede a la cuenta.
En este ejemplo, y en otros que he encontrado, puedes deshabilitar javascript para habilitar el pegado. Chrome, por ejemplo, le permite hacer esto sitio por sitio, por lo que puede evitar que Paypal use javascript y soportar la funcionalidad reducida.
Actualizar Ebay también se ha infectado con el virus de pseudo seguridad de Paypal. Han desactivado el pegado en el campo de la tarjeta de crédito / débito cuando vas a actualizar tu método de pago automático.
De todos modos, francamente no compro su razón de ser. Un usuario experto en tecnología (o pirata informático) puede deshabilitar javascript para omitir esta función, por lo que todo lo que hace es obligar a los usuarios novatos a usar contraseñas débiles (es decir, a aquellas a las que se les puede molestar que escriban). Les informé de esto, pero era previsible que me hubieran quitado el control: por alguna razón, la gente de servicio al cliente nunca apreciaba hablar de problemas de tecnología / seguridad ...
Actualización 2
El gobierno del Reino Unido piensa oficialmente que Paypal / Ebay son estúpidos por hacer esto; consulte el sitio web del Centro Nacional de Seguridad Cibernética.
Disculpas por publicar esto como una respuesta en lugar de un comentario, mi reputación aún no es lo suficientemente alta.
Es evidente que se debe a políticas de seguridad equivocadas en la empresa. Bet365 es otra parte culpable en esto. Tenga en cuenta que la escritura de contraseñas no es lo mismo que bloquear la función de autocompletar.
La aplicación manual de las contraseñas tiene las siguientes implicaciones de seguridad. Fomenta contraseñas débiles que pueden ser recordadas. Fomenta las contraseñas que se utilizan en varios sitios web (ya que, después de todo, es más fácil de recordar) Alienta contraseñas débiles porque "bueno" son más fáciles de escribir. Un keylogger en la máquina puede interceptar las contraseñas introducidas. Las contraseñas complejas almacenadas probablemente tienen que ser pegadas en el bloc de notas o algo primero, para que puedan ser ingresadas. Entonces, son vulnerables a cosas como los capturadores de pantalla.
El riesgo de permitir un pegado es solo uno en realidad, ya que puede estar almacenado en un archivo de texto claro en algún lugar, pero de todos modos puede ser el caso al escribirlo.
Esta es una publicación antigua, realmente antigua, pero sé por qué estos sitios bloquean el pegado de contraseñas y no por razones de seguridad que realmente importan. Entonces, cuando conseguí mi segundo trabajo, en una empresa de servicios de software de escala relativamente grande (leí tecnología sweatshop), nos hicieron pasar 3 meses de capacitación remunerada (leer vacaction) Las personas que trabajaban allí comenzaron con la codificación en HTML / Javascript primero para diseñar la interfaz de usuario (leer el código de espagueti mal diseñado)
Así que construyeron las validaciones en javascript para verificar campos vacíos, expresiones regulares, etc. y, por supuesto, tuvieron que validar al presionar teclas. El problema era que no funcionaba si el usuario pegaba en la entrada, por lo que bloqueaban copiar / pegar para evitar que los usuarios ingresen datos no seguros. Por supuesto, las validaciones del lado del servidor resolverían el problema por completo, pero nadie tenía ninguna habilidad técnica allí. Estas personas luego continuaron construyendo / trabajando en software empresarial y muchos bancos y soluciones empresariales tienen esta restricción.
Esa es la verdadera razón por la que tenemos estas "validaciones" porque la gente no pudo averiguar cómo validar los datos pegados y no tenía idea de cómo validar las cosas en el lado del servidor.
Uno de los "instructores" que en realidad sugirió validar en el lado del cliente reduce la carga en el servidor.
Lea otras preguntas en las etiquetas passwords authentication